[리버싱] 패킹, 언패킹, 패커!?

오늘 포스팅에서는 '패킹', '언패킹', '패커' 등의 개념을 다루고 압축 방식에 대해 알아보도록 하겠다.

 

압축에는 비손실 압축, 손실 압축 이 두가지 압축이 존재한다.

 

---

 

비손실 압축이란?

파일의 크기를 줄여서 보관 및 이동에 용이하도록 하려는 목적을 가지고 있다.

이 압축 방식은 크기만 줄일 뿐 실제 데이터를 잃지 않기 때문에 100% 복원이 가능하다.

대신! 이 방식의 경우 해당 압축을 해제한 후에 사용할 수가 있다.

데이터 무결성을 제공하고, 압축해제를 통해 원본 데이터를 100% 복구 할 수 있다. 

(일반적으로 알고있는 압축 zip이라고 생각해도 될것 같다.)

 

손실 압축이란?

파일에 의도적인 손상을 주어서 그 대가로 압축률을 높이는 목적을 가지는 압축을 뜻한다.

이 압축은 의도적인 손상을 주었기 때문에 압축 해제시 100% 원래대로 복원할 수 없다.

압축 파일 그 자체로 사용한다는 것이 이 압축에 특징이라고 볼 수 있다.

 

 

---

오늘 우리가 실습해볼 것은 '패킹'이라는 압축의 한종류로 볼 수 있는데,

패킹은 실행 압축을 의미한다.

 

 

 

패킹이란? 

패킹(Packing)이란 실행 압축이라는 뜻을 가지고 있다.

일반적으로 흔히 알고 있는 압축(Zip, RAR)과 같은 압축은 그 압축을 해제 시켜야 해당 프로그램을 실행 시킬 수가 있지만, 그와는 다르게 packing은 있는 그대로 일반 프로그램 처럼 실행이 가능하다. 즉 패킹은 하되(압축과 비슷하게 생각해도됨) 압축 푸는 과저이 없이 프로그램을 실행 할 수 있는 것을 바로 실행 압축 즉 패킹이라고 명칭한다.

 

 

 

실행압축은  왜 쓸까?

https://cafe.naver.com/totallab/book58746/793

 

 

이렇게 패킹(실행 압축)은 데이터 압축(프로그램 크기 줄이기)의 목적도 있고, 

 

악성 코드에서는 작은 용량으로 빠르게 많이 퍼지게 하여, 분석이 불가능 하게끔 만드는 목적으로 쓰이기도 한다.

 

 

---

 

실행압축 해제의 기본원리

그럼 이제 가장 중요한 실행압축을 해제하기 위한 기본 원리를 알아보자.

무엇보다 중요한 건"결과적으로 프로그램은 실행돼야 한다는 점이다.

 

"아무리 압축을 하고, 암호화를 하더라도 작동하지 않으면 아무런 쓸모가 없다.

 

그리고 다음으로 중요한 건"실행 대상이 될 프로그램 기본구조 자체는 바꿀 수 없다는 것이다.

(즉 기본 구조는 바뀌지 않지만, 그 내용은 변경이 될 수 있음)

 

이 내용을 기술적인 내용으로 바꾸면, 기본원리는 실행압축 프로그램이 실행되는 어느 시점에서는 압축되기 전 상태로 돌아가야 하며, 그 때 메모리 상태를 Dump(메모리 내용을 그대로 파일로 저장)하고, Entry Point를 압축하기 전 위치로 설정해주면 된다는 점이다.

 

특히 어느 시점을 OEP(Original Entry Point)라고 하며, PEP(Packed Entry Point, 실행압축 된 프로그램에서 처음 시작하는 코드위치)와 비교한다. 이 OEP만 찾을 수 있다면 실행압축 해제는 아주 쉽게 이루어 질 수 있다.

실제 UPX 실행압축을 사용한 파일을 예로 들어 설명해 보겠다. 먼저 UPX로 실행 압축된 프로그램의 경우 처음 시작할 때 UPX1에 PEP가 있어 UPX1이 실행된다.

 

UPX1의 Unpacker 루틴이 끝나면 EIP가 UPX0의 어느 부분을 가리키게 된다. 즉 이 부분이 OEP이다. 그래서 EIP 값을 검사하다가 UPX1에서 UPX0로 넘어갈 때 프로그램 작동을 멈추면 된다.

 

 

 

PE구조 알아보기

실행압축에 대해 분석하기 전에 먼저 PE구조 및 실행압축의 기본 원리를 알아보자.

PE 파일은 Dos Header, Dos Stub code, PE Header, Section Header 그리고 Section으로 구성되어 있다.

 

특히 PE 파일에서의 헤더는 다음과 같이 크게 세 가지로 볼 수 있다.

 

IMAGE_DOS_HEADER, IMAGE_NT_HEADERS, IMAGE_SECTION_HEADER

 

 

윗 내용들 출처 : blog.naver.com/magu2564/130088945391

 

 

 

---

 

여기까지 "패킹" 을 알아봤는데요, 쉽게 그냥 풀어서 써놓은 파일이 아래 파일이니 참고해보시면 이해가

조금 빠를 수도 있을 것 같네요.

 

 

패킹.txt

0.00MB

 

 

---

 

 

@ 패킹(Packing)

 

 - 실행파일을 암호화하거나, 압축하여 소스코드를 볼수 없도록 하는 것

 - 압축을 하면 용량을 줄이고, 실행속도가 빨라짐(사용자 측면에서도 유리하지만, 악성코드 유포시에도 유리하게 작용)

 - 분석하기에 어려움이 존재함(언패킹이 필요하기 때문에)

 

@ 언패킹(Unpacking)

 

 - 패킹된 소스코드를 보기 위해 암호화나 압축을 푸는 행위

 

@ 패커(Packer)

 

 - 패킹을 해주는 프로그램(Compressor, Protector)

 - Compressor : 파일의 크기를 줄여 배포를 쉽게하도록 하는 목적, 주로 악성코드 실행속도를 빠르게 하는데 목적이 있고 대표적으로 UPX, FSG 등이 있다.

   -> UPX(Ultimate Paker eXecutables) : 여러 운영체제에서 수많은 파일 포멧을 지원하는 오픈 소스 실행 파일 압축 프로그램으로 압축과 압축해제 기능

 - Protector : 실행파일을 보호하는 것이 목적, 크기는 늘어나지만 Anti-Reversing 기법 적용되어 언패킹이 까다롭고, 코드 가상화 기법과 난독화에 어려움

출처 : itinformation.tistory.com/58

 

---

 

참고 주소 및 필요 자료 ▼

아래 주소에서 upx, PEview 다운받기!

 

github.com/upx/upx/releases/tag/v3.96

Release UPX 3.96 · upx/upx

wjradburn.com/software/

WJR Software - PEview (PE/COFF file viewer),...

 

---

blog.naver.com/magu2564/130084117489

[공유] CPU의 이해 1 - CPU란 무엇인가

이 블로그에 리버싱 관련 내용들이 정리가 매우 잘 되어있으니 참고하셔도 좋을 것 같아요.

 

 

글이 너무 길어지는 관계로 패킹 실습 글을 따로 올리도록 할께요~