読者です 読者をやめる 読者になる 読者になる

Log.i53

Themidaのアンパックを目指すブログ改め使い物になるえんじにゃを目指すブログ

AntiDebug技術:Stolen Bytes

Unpack Anti-Debug

 Stolen Bytesは、実行ファイルのコード保護(たいていエントリポイントのいくつかの命令)の基礎で的な手法であり、パッカーは割り当てメモリ上にコードをコピーして実行した後で削除します。これにより、保護プロセスがメモリからダンプされた場合であっても、途中で実行される命令が復元されないため、その実行を妨害することができます。

 以下は実行ファイルのオリジナルエントリポイントのサンプルです:
f:id:i53:20150608174307p:plain

 そして以下がEnigma Protectorパッカーによって同じ実行ファイルの最初の2命令が盗みとられた(stolen)時のサンプルです:
f:id:i53:20150608174503p:plain

 また、ASProtectパッカーによっていくつかの命令が盗みとられたサンプルを示します。jump命令の行き先に実行される命令が続いています。この時実行される命令は復元を困難にさせるために、ガベージコードなどと組み合わせられています:
f:id:i53:20150608174906p:plain