[2008 CodeEngn Conference 02] seaofglass - Immunity Debugger 활용과 플러그인 제작
2 likes1,567 views
2008 CodeEngn Conference 02 Immunity Debugger에서 제공하는 플러그인에 대한 분석과 제작과정을 설명한다. http://codeengn.com/conference/02
![immlib.py
• isAnalysed(regs['EIP'])
– 코드가 분석되어져 있는가?
l C d ( ['EIP'])• analyseCode(regs['EIP'])
– 코드 분석 수행
• openTextFile(path="")
– MDI창으로 텍스트 파일을 읽어온다.](https://image.slidesharecdn.com/20082ndcodeengnseaofglasspracticalusageandimplementationofimmunitydebuggerplug-in-130527110705-phpapp02/85/2008-CodeEngn-Conference-02-seaofglass-Immunity-Debugger-11-320.jpg)
![immlib.py
• regs=imm.getRegs()
imm.Log("OEP : 0x%08X " % regs['EIP'])
tR ("ESP" 0 FFFFFFFF)• setReg("ESP", 0xFFFFFFFF)
• getDebuggedName()
– 디버깅되고 있는 process module 이름 얻기](https://image.slidesharecdn.com/20082ndcodeengnseaofglasspracticalusageandimplementationofimmunitydebuggerplug-in-130527110705-phpapp02/85/2008-CodeEngn-Conference-02-seaofglass-Immunity-Debugger-12-320.jpg)
![immlib.py
• inputBox(“title”)
– 입력 창 생성
• comboBox(“title”, “[list1, list2]”)
– 콤보 박스 생성](https://image.slidesharecdn.com/20082ndcodeengnseaofglasspracticalusageandimplementationofimmunitydebuggerplug-in-130527110705-phpapp02/85/2008-CodeEngn-Conference-02-seaofglass-Immunity-Debugger-15-320.jpg)
![주소 찾기
#code = "JMP DWORD PTR DS:[EBX+C]“
opcode = "xFFx63x0C“
res = imm Search(opcode)res = imm.Search(opcode)
Search( ) 함수
입력 : OP Code
출력 : 찾은 주소 (리스트 형)](https://image.slidesharecdn.com/20082ndcodeengnseaofglasspracticalusageandimplementationofimmunitydebuggerplug-in-130527110705-phpapp02/85/2008-CodeEngn-Conference-02-seaofglass-Immunity-Debugger-19-320.jpg)
![디버거 구동
1. 찾은 주소로 중단점 설정
2. 실행 후 중단점에서 정지
3. 중단점 해지
imm.setBreakpoint(res[0])
imm.Run(1)
imm.deleteBreakpoint(res[0])](https://image.slidesharecdn.com/20082ndcodeengnseaofglasspracticalusageandimplementationofimmunitydebuggerplug-in-130527110705-phpapp02/85/2008-CodeEngn-Conference-02-seaofglass-Immunity-Debugger-20-320.jpg)
![코드 분석 여부 파악
imm.isAnalysed(regs['EIP'])
imm.analyseCode(regs['EIP'])](https://image.slidesharecdn.com/20082ndcodeengnseaofglasspracticalusageandimplementationofimmunitydebuggerplug-in-130527110705-phpapp02/85/2008-CodeEngn-Conference-02-seaofglass-Immunity-Debugger-21-320.jpg)
![OEP에 주석 달기
regs = imm.getRegs()
imm.setComment(regs['EIP'], “OEP!")](https://image.slidesharecdn.com/20082ndcodeengnseaofglasspracticalusageandimplementationofimmunitydebuggerplug-in-130527110705-phpapp02/85/2008-CodeEngn-Conference-02-seaofglass-Immunity-Debugger-22-320.jpg)
![[2008 CodeEngn Conference 02] seaofglass - Immunity Debugger 활용과 플러그인 제작](https://image.slidesharecdn.com/20082ndcodeengnseaofglasspracticalusageandimplementationofimmunitydebuggerplug-in-130527110705-phpapp02/85/2008-CodeEngn-Conference-02-seaofglass-Immunity-Debugger-34-320.jpg)
[2008 CodeEngn Conference 02] seaofglass - Immunity Debugger 활용과 플러그인 제작
- 1. Immunity Debugger 활용 & Plugin 제작 2nd CodeEngn Seminar 활용 g 제작 유리바다(seaofglass@korea.com) www.CodeEngn.com
- 2. 차 례 • Episode I – 격돌! Immunity Debugger vs Cheat Engine • Episode II – OEP를 찾아서 • Episode III – 내 사랑 Plugin !
- 4. !pinball
- 5. 시연
- 6. Think!
- 7. Pinball with HOOK?! import immlib from immlib import LogBpHook class pinball_hooks(LogBpHook): def __init__(self): LogBpHook.__init__(self) def run(self, regs):def run(self, regs): imm = immlib.Debugger() imm.Run() def main(args): imm = immlib.Debugger() bp_address = 0x0101757C logbp_hook = pinball_hooks() logbp_hook.add("pinball_game", bp_address)
- 8. immlib.py • Log(“msg”) – Log 윈도우에 메시지를 남김 (Alt + L) • updateLog() – Log 윈도우 업데이트g 윈 우 업데이 • setStatusBar(“msg”) – 상태창에 메시지 설정 • clearStatusBar() – 상태창에 설정된 메시지 지움
- 9. immlib.py • stepIn() # F7 • stepOver() # F8 • Run() # F9 • runTillRet() # Ctrl+F9 • setBreakpoint(0xbadc0ded) • deleteBreakpoint(0xbadc0ded)
- 10. immlib.py • writeMemory(self, address, buf) – 메모리 지정한 주소에 데이터 쓰기 dM ( lf dd i )• readMemory(self, address, size) – 메모리로 부터 지정한 크기의 데이터 읽기 • isvmWare() – 현재 디버거가 vmware에서 작동 여부 확인
- 11. immlib.py • isAnalysed(regs['EIP']) – 코드가 분석되어져 있는가? l C d ( ['EIP'])• analyseCode(regs['EIP']) – 코드 분석 수행 • openTextFile(path="") – MDI창으로 텍스트 파일을 읽어온다.
- 12. immlib.py • regs=imm.getRegs() imm.Log("OEP : 0x%08X " % regs['EIP']) tR ("ESP" 0 FFFFFFFF)• setReg("ESP", 0xFFFFFFFF) • getDebuggedName() – 디버깅되고 있는 process module 이름 얻기
- 13. immlib.py • getDebuggedPid() – 디버깅되고 있는 프로세스 아이디 얻기 i Ad i ()• isAdmin() – 디버깅이 운영자 권한으로 실행되는가 여부 • ps() – 현재 활성화 된 프로세스 리스트 얻기
- 14. immlib.py • getAllThreads() – 모든 프로세스의 thread 리스트 얻기 llSt k()• callStack() – Back Trace를 리스트 형으로 얻어옴 • markBegin(), markEnd() – 시작 마크, 종료 마크 (시간 값)
- 15. immlib.py • inputBox(“title”) – 입력 창 생성 • comboBox(“title”, “[list1, list2]”) – 콤보 박스 생성
- 16. Episode II
- 17. 넌 누구냐?
- 18. Unpacker OEP 찾기! • 예제 : FSG 2.0 – OP Code를 이용하여 원하는 위치 찾기 – BreakPoint 걸기 – 디버거를 실행하여 BP 위치 도달 – BreakPoint 해제 – StepOver()로 OEP 도달하기
- 19. 주소 찾기 #code = "JMP DWORD PTR DS:[EBX+C]“ opcode = "xFFx63x0C“ res = imm Search(opcode)res = imm.Search(opcode) Search( ) 함수 입력 : OP Code 출력 : 찾은 주소 (리스트 형)
- 20. 디버거 구동 1. 찾은 주소로 중단점 설정 2. 실행 후 중단점에서 정지 3. 중단점 해지 imm.setBreakpoint(res[0]) imm.Run(1) imm.deleteBreakpoint(res[0])
- 21. 코드 분석 여부 파악 imm.isAnalysed(regs['EIP']) imm.analyseCode(regs['EIP'])
- 22. OEP에 주석 달기 regs = imm.getRegs() imm.setComment(regs['EIP'], “OEP!")
- 23. Packer OEP 찾기 시연 • 예제 FSG 2.0
- 24. Episode III
- 25. plugin 제작 • PDK(Plugin Development Kit)를 통한 제작 • 작성 언어 : 델파이(Delphi) • http://www.peid.info/BobSoft/Source/PDK forDelphi.zip (지원 라이브러리 및 샘플)
- 26. IMMDBG_Plugindata() function IMMDBG_Plugindata(name: PChar): Integer; cdecl; begin StrLCopy(name, PChar(PLUGIN_NAME), 32); // Name of plugin Result := PLUGIN_VERSION; end;
- 27. IMMDBG_Plugininit() function IMMDBG_Plugininit(ImmDbgVersion: Integer; hWndImmDbg: HWND; features: PULONG): Integer; cdecl; begin g_hwndImmDbg := hWndImmDbg; Addtolist(0, 0, 'ImmunityDebugger Plugin'); Result := 0; end;
- 28. IMMDBG_Pluginmenu() function IMMDBG_Pluginmenu(origin: Integer; pData: PChar; pItem: Pointer): Integer; cdecl; begin case origin of PM_MAIN: begin // Pl i i i i d// Plugin menu in main window StrCopy(pData, '0 &menu1, 1 &menu2,|2 &About...'); Result := 1; end; else Result := 0; // Any other window end; end;
- 29. IMMDBG_Pluginaction() procedure IMMDBG_Pluginaction(origin: Integer; action: Integer; pItem: Pointer); cdecl; var sExePath: string; begin if (origin = PM_MAIN) then begin sExePath := GetExePath; case action of 0: MessageBox(g_hwndImmDbg, PChar(MENU1), PChar(PLUGIN_NAME), MB_OK); 1: MessageBox(g_hwndImmDbg, PChar(MENU2), PChar(PLUGIN_NAME), MB_OK); 2: MessageBox(g_hwndImmDbg, PChar(ABOUT), PChar(PLUGIN_NAME), MB_OK); end; end; end;
- 30. Plugin.pas • PM_MAIN : 메인 윈도우 처리 • PM_DUMP : DUMP창 처리 • PM_THREADS : THREADS창 처리 • PM_BREAKPOINTS : BreakPoint 창 처리 • PM_RTRACE : Run Trace 창 처리 • PM_DISASM : CPU창 팝업 메뉴 처리 • PM_CPUREGS : CPU Register 처리
- 31. Plugin.pas • TIMMDBG_Pluginmainloop() • TIMMDBG_Pluginsaveudd() • TIMMDBG_Pluginuddrecord() • TIMMDBG_Pluginshortcut() • TIMMDBG_Pluginreset() • TIMMDBG_Pluginclose() • TIMMDBG_Plugindestroy()
- 32. Sample plugin
- 33. 참고 사이트 • 이뮤니티 포럼 – http://forum.immunityinc.com • PDK for Delphi – http://www.peid.info/BobSoft/
- 35. Quiz Reverse Engineering과 연관 있다고 생각되는 동물과 그 이유? 평가 – 공감성, 논리성
- 36. 앞으로의 여정? 배우고자 하는 누군가를 위하여 학습 할 수 있는 토대를 만드는 것은학습 할 수 있는 토대를 만드는 것은 참으로 의미 있는 일이다!