리버싱 기초

모든내용의 출처는 구글, 구글 위키백과, 그외의 블로그 등을 참고 하였습니다.

또한 학교 수업시간의 자료를 참고하여 글을 작성하였습니다.

리버싱 기초에 대한 도움이 될 듯 하여 올려 놓은 것이며,상용목적이 아닙니다.

 

---

 

1-1. 리버싱 엔지니어링

 

리버스 엔지니어링(reverse engineering, RE) 또는 역공학(逆工學)은 장치 또는 시스템의 기술적인 원리를 그 구조분석을 통해 발견하는 과정이다. 이것은 종종 대상(기계 장치, 전자 부품, 소프트웨어 프로그램 등)을 조각내서 분석하는 것을 포함한다. 그리고 유지 보수를 위해, 또는 같은 기능을 하는 새 장치를 원본의 일부를 이용하지 않고 만들기 위해 대상의 세부적인 작동을 분석하는 것을 포함한다.

 

리버스 엔지니어링의 기원은 상업적 또는 군사적으로 하드웨어를 분석한 것에서 시작되었다. 목적은 원본 생산의 절차에 관한 지식이 거의 없는 상태에서, 최종 제품을 가지고 디자인 결정과정을 추론하는 것이다. 같은 기술이 레거시 소프트웨어 시스템을 응용하기 위해 현재 연구되고 있는데, 산업이나 국방이 아니고, 오류, 미완성, 접근 불가인 문서를 수정하기 위함이다. (구글 위키백과)

 

 

1-2. 바이너리

 

-  바이너리란 2진수 라는 의미로서, 바이너리 파일은 0과1, 즉 2진수로 이뤄진 파일을 의미한다. 하지만 '바이너리 분석'에서의 바이너리는 이것보다 제한적인 의미를 가진다. 좋은 의미로 실행 가능한 형식의 데이터 파일을 말한다. 형식으로는 윈도우의 PE나 리눅스의 ELF같은 것이 있다. 

 

-  어떤 프로그램이 어떻게 동작하는지 분석할 때, 우선 실제로 프로그램을 실행해 보면 어떤 동작을 하는지 대략적으로 알 수 있다. 그리고 더욱 자세히 알고 싶은 부분이 있다면 코드를 확인한다. 하지만 대부분의 경우 소스코드가 없으므로 소스코드가 아닌 다른 형태의 코드를 읽어야 한다. 동작을 확인해보기 위해서는 우선 실행해보는 것이 제일이다.

하지만 이것만으로는 표준 입출력 이상의 정보를 얻을 수 없으므로 다양한 정보를 얻을 수 있는 전용 프로그램을 사용해 도움을 받는 것이 좋다. 그리고 바이너리 코드를 읽는다. 단 바이너리의 코드는 한번 컴파일된 것이기 때문에 소스코드가 아니라 disassemble이라는 처리 과정으로 얻어진 어셈블리 코드를 읽게 되는것이다. 이것이 mov add와같은 assembly어이다. disassemble이란 기계어로 된 코드를 사람이 해석하기 쉬운 어셈블리 언어로 변환하는 것이다.

1-3. 바이너리 분석

 

바이너리 분석(Binary Analysis) 툴은 어떤 패커를 이용해서 바이너리를 패킹했는지, 어떤 언어로 제작된 프로그램인지를 알아낼 때 사용된다. 파일을 열어도 되고 드래그 앤 드롭을 하여 파일을 넣을 수도 있다.

소스 코드를 분석해서는 이러한 선천적 취약점과 같은 결함이 있는지 알 방법이 없지만 이를 찾아낼 길은 엄연히 존재한다. 바로 바이너리 파일을 분석하는 것이다. 바이너리 파일 분석은 소프트웨어 실행 파일 자체를 분석하므로 더 직접적이고 명확하게 소프트웨어를 분석할 수 있는 방법이기도 하다.(출처 : https://gnu-cse.tistory.com/22?category=601172)

 

 

 

 

1-4. 공격종류(타입)

 

 

 

 

 

1-5. 바이너리 분석 도구

 

 

- showString

 

공격타입은 Binary Analyysis로 프로그램 내부 스트링을 보여주는 도구이다.

 

 

 

- Resource Hacker Plus

 

 

공격타입은 Binary Analyysis로 소프트웨어 리소스를 편집할 수 있는 도구이다.

 

 

 

 

- Windbg

 

 

공격타입은 Debugger 로 디버깅을 할 수 있는 도구이다.

 

 

- Ollydbg

 

 

공격타입은 Debugger, Disassembler 로, 가장 범용으로 사용되는 디버그, 디스어셈블러 툴이다.

 

OllyDbg (만든이인 Oleh Yuschuk의 이름을 딴)는 바이너리 코드 분석을 위한 x86 디버거로서, 소스 코드가 없을 때 유용하게 사용된다. 이것은 레지스터를 추적하고, 함수, API 호출, Switch 문, 표 (table), 상수 그리고 문자열을 인식하며, 오브젝트 파일과 라이브러리에서 루틴들의 위치를 찾아준다.

 

 

- VBDE

 

 

 

공격타입은 Decompiler 로, 비주얼베이직으로 만들어진 프로그램 분석 툴이다.

 

 

 

- W32dsm9b

 

 

 

공격타입은 Desassembler로, 기계어를 어셈블리어로 번역해주는 툴이다.

 

 

- WinHex

 

 

 

공격타입은 Hex Editor로 이진 파일을 읽는 툴이다.

 

 

 

- Procexp

 

 

공격타입은 Monitoring 으로, 시스템 모니터링을 할 수 있는 툴이다.

 

 

 

 

- Exeinfo PE & VMUnpacker

 

 

 

 

 

둘다 공격타입은 Unpacker이며, 언패킹을 할 수 있는 툴이다.

그 외에도 타입에 따라서, 많은 툴들이 존재한다.

(출처 : https://myeonguni.tistory.com/1672)