Themida 의 API Wrapping 분석(?)

회사 프로젝트 때문에~ 이런저런 Packer/Protector 들을 많이 살펴보게 됩니다...

그 중에 가장~ 난감한 녀석을 꼽으라면 역시 Themida 가 아닐까 싶네요;;;...
( ㅋ.. 이쪽 분야를 접한 분들 중에서 알만한 분들은 다 아실듯한... )

Themida 의 여러 기능 중~ 타겟을 분석하기 짜증나게(?) 하는 것 중의 하나가 바로 API Wrapping 인데요...

오늘은 API Wrapping 에 대해서 알게된 것을 정리를 해볼까합니다;;ㅋ...

API Wrapping ... 말그대로 "API 를 감싼다" 라고 생각하시면 될듯 합니다.
( 실제로 대상 API 를 이런저런 더미코드 및 정크코드로 둘러싼거니까요~ :D )


지금부터~ㅋ 특정 API 하나를 타겟으로 잡아서 Themida 가 어떤식으로 Wrapping 했는지 추적을 해봅시다~

#01. 원본파일의 코드

#02. Themida 로 팩된 파일의 코드

원본파일에서 "FF 15 ~ XXXXXXXX" 로 되어있는 6 바이트 CALL 문을

"E8 ~ XXXXXXXX" 의 5 바이트 CALL 문으로 바꾸면서~ 길이를 맞추기 위해 NOP 추가했습니다.

코드가 조금 변경되면서 보이는 길이가 달라지긴 했지만 전체적인 형태를 보면 같은 형태인걸 확인하실 수 있을겁니다.

SendDlgItemMessageW 를 콜하는 부분이 016005F9 를...
lstrcpyW 를 콜하는 부분이 014D0000 를...
CloseHandle 를 콜하는 부분이 014C0BD9 를.. 콜하도록 변경된거죠~~

이걸 바꿔말하면 016005F9 에서는 어떻게든 SendDlgItemMessageW 를 호출할테고...
014D0000 에서는 역시 lstrcpyW 를 호출할테고...
014C0BD9 에서는 CloseHandle 을 호출한다고 볼 수 있습니다.

이 중에서 CloseHandle 을 호출할 014C0BD9 .. 이 곳을 트레이스 해보도록 하겠습니다.


먼저 원본에서 CloseHandle API 가 어떤 구조로 되어있나 확인부터 해봅니다~ :)

#03. 원본의 CloseHandle API 코드

CloseHandle API 코드 한줄 한줄을 잘 봐두시길 바라면서~~ 이제 트레이스를 시작합니다.

크.. 터무니없이 길어질 것 같아서~~ 트레이스 과정은 접어두도록 하겠습니다.

014C0BD9 로 가보면 MOV EDI, EDI 한 줄과 함께... 014C0BE9 로 점프하는 코드가 보입니다.

점프하는 곳으로 가보면...

XCHG EAX, EBP 로 EAX, EBP 의 값을 바꾸고... 014C0BFA 로 점프를 하네요..

014C0BFA 에서는 EAX 를 PUSH 하고 다시 014C0C06 으로 점프~
( 미리 말해두자면 Themida 에서는 점프코드가~~ 상~~~당히 많습니다;;;;ㅋ )

XCHG EAX, EBP 로 다시 EAX, EBP 의 내용을 바꾸고 점프~

ESP 의 값을 EBP 에 넣어주고~~ 각 레지스터 및 플래그의 값들을 PUSH 합니다.

여기서 잠깐... 제가 ">> REAL CODE" 라고 코멘트 달아둔 것을 잠깐 보고 넘어가도록 하죠~;;

014C0BD9 부터... 014C0C21 의 점프문 까지를 보면...

MOV    EDI, EDI
XCHG   EAX, EBP
PUSH   EAX
XCHG   EAX, EBP
MOV    EBP, ESP

이렇게 되는데~~ 어셈블리 명령어를 조금 아시는 분들이라면...

XCHG   EAX, EBP
PUSH   EAX
XCHG   EAX, EBP

이 부분이 그냥~~ "PUSH EBP" 한 줄로 가능하다는 것을 알 수 있을겁니다...

그렇게 바꿔보면~~

MOV    EDI, EDI
PUSH   EBP
MOV    EBP, ESP

요렇게 나오는데요~~ㅋ 어디선가 많이 본것 같지 않습니까...?
( CloseHandle API 코드의 시작주소와 비교를 해보시기 바랍니다...ㅋ )

암튼 계속 트레이스를 해봅시다~~ㅋ

PUSHAD / PUSHFD 가 나왔다는 것을 기억하면서~~ 014C0C2F 로 점프~

앗.. 그냥 바로 점프해버리는군요;;;;

POPFD 와 PUSHFD 를 해주고... 014C0C56 으로 점프~~

참고로 PUSHAD 랑 POPAD ... PUSHFD 랑 POPFD 이렇게 묶어서 생각하시면 편합니다.

원래 PUSHAD / PUSHFD 이렇게 있었는데 POPFD 를 해서~ PUSHFD 를 날려버리지만..

다시 PUSHFD 를 하네요;;; 즉 =0=;; 쓸데없는 코드입니다..

여전히 PUSHAD / PUSHFD 가 남아있구요~~ 여튼.. 014C0C56 으로 가봅니다~

CH 에 88 을 AND 합니다;;; 뭔지 모르니 일단 넘기고 014C0C64 로 점프~

어이쿠.. POPFD 와 POPAD 가 나왔네요;;.. 이걸로 PUSHAD / PUSHFD 는 날아갔구요;

EAX 에 FS:[18] 의 값을 넣는군요;; 뭔가 의미가 있는 코드같죠?ㅋ

이어서 EAX, EDX 를 차례로 PUSH 하고... PUSHAD.... PUSHFD 까지 한 다음 014C0C8A 로 점프~

=0=;;; EAX 에서 7E45A17E 를 빼네요;;.. (뭥미;;;) 그리곤 014C0CA9 로 점프~

POPFD 와 POPAD 가 나왔네요... 위에서 PUSHAD, PUSHFD 나왔던거 기억하시나요?;

요녀석들 날아가구요;; RDTSC 를 해준다음... 014C0CBE 로 점프합니다..
( 아직 스택에는 EAX, EDX 의 순서로 값이 들어있습니다.. )

POP EDX, POP EAX 가 나왔네요~~ 스택에 들어가있던 EAX, EDX 가 날아갑니다~~

그리곤 ECX 에다가.. [EAX + 30h] 값을 넣네요;;;..
( EAX 에는.. FS:[18] 의 값이 들어있습니다.... )

다시 EAX, EDX 를 PUSH 하고 014C0CD2 로 점프~

RDTSC 가 나오고.. 으아;; EAX, EDX, EAX, EDX 순서로 PUSH 를 합니다..;;

또, RDTSC 가 나오고.. EDX, EAX 를 꺼내주는군요;;

이곳으로 점프하기 전에 먼저 들어간 EAX, EDX 가 있기 때문에...

현재 스택에는 EAX - EDX - EAX - EDX 이렇게 들어있는 상태입니다..

014C0CF1 로 점프~!

오호라 POP 입니다.. 스택에 들어있던 EDX - EAX - EDX - EAX 를 모조리 꺼냅니다;;

그리곤 MOV    EAX, DWORD PTR SS:[EBP + 8] 을 해주는 군요;;

계속 014C0D0E 로~~!!

EAX 값과 -0C 를 비교하고 014C0D21 로 점프~!

위에서 EAX 값을 비교한 결과를 가지고 Kernel32.7C830A42 로 갈지 말지 판단하는군요;

그 밑으로 EAX - EDX - EAX - EDX 를 차례로 PUSH~!

014C0D35 에서는 RDTSC 와 함께~~ EAX, EDX 를 PUSH 해줍니다..

그 바로 밑에 EDX - EAX - EDX - EAX 순서로 POP 을 하는데요~~

스택에는 EAX - EDX 이렇게 두개가 남아있게됩니다..

그리곤 PUSHAD , PUSHFD 를 하고 014C0D4F 로 점프하는군요;;

어라.. 또 바로 점프하는군요;;;

POPFD 가 나오고~~ EAX 에 3A013037 을 넣고.. POPAD...;;

앞에서 PUSHAD  , PUSHFD 를 해준게 있죠~.. 이게 날아가버립니다..

EAX 에 3A013037 을 넣어봤자.. POPAD 를 통해 PUSHAD 할 때의 값으로 복구가 되므로.. 저건 의미없는 코드죠;;;

그리곤 EDX - EAX 를 차례로 POP~!! 한 다음 이번에는 EAX 와 -0B 와 비교를 합니다.;

PUSHAD 가 나오고.. ESI 에 68BFEF2F 를 넣고.. EBX 엔 EAX 값을 넣네요;;

근데..ㅡ.ㅡ;; POPAD;;.. 즉 ESI 와 EBX 에 넣은건 ~~ 역시 의미가 없어집니다..;;

그다음 JE   Kernel32.7C830A37 .. 이 나오네요;;


여기서 또, 잠깐... 이쯤에서 뭔가~~ 패턴이 있다는 걸 알아채신 분은 센스가;; 10점 만점에 10점입니다;;; (;;;)

1. PUSHAD ~ POPAD 사이에는 레지스터에 뭔짓을 하더라도~~ 결국 의미없어진다는거...
2. PUSHFD ~ POPFD 사이에서 플래그가 어떻게 변하더라도~~ 결국 의미없어진다는거...
3. EAX, EDX 를 PUSH 하고나서 장난치다가도... 결국엔 차례대로 POP 해준다는거...
4. RDTSC ;; 이건 여기서는 무시해도 된다는거...

요~ 4 가지를 염두에 두고~~ 이젠 속성으로 후다닥;;;

JE 문 밑으로~~ 점프문나올때까지 실행되면...;;; 스택엔 PUSHAD , PUSHFD 결과값만 들어가게 되구요..

014C0DA6 으로 점프~!

SBB AH, 88 이런 코드가 있지만.. =0=;; PUSHAD , PUSHFD 가 있는 상태니까..;;

POPFD, POPAD 가 보일 때까지는 의미없는 코드일거라 짐작할 수 있겠죠...

014C0DB4 로 점프~!

오호.. 점프하자마자 POPFD, POPAD 가 나오네요~~

그 밑의 CMP    EAX, -0A 는 정상코드일 듯하고.. 이어지는 PUSH EAX, PUSH EDX 는 의심스럽습니다..;ㅋ..

조금 밑에 POP EDX, POP EAX 가 나오는군요~~ 그 사이는 전부 더미코드이구요;;

JE    Kernel32.7C839BC1 요건... 정상코드 입니다..

밑으로는 또 더미코드~~

이제... 점프하는 곳의 코드를 쭉~~ 보여드리겠습니다..;; ( 캡쳐가 너무 많이 남았어요; )

실제코드는 옆에 다가 코멘트를 달아놨으니;;ㅋ

우와... 깁니다;;; 어쨌든.. 리턴이~~ 나왔습니다..

여기서 리턴을 하면.. 젤 첨~ 014C0BD9 를 콜해준 바로 다음 번지로 리턴됩니다..

ㅋ... 트레이스는 끝이 났네요;;;

이제 REAL CODE 라고 되어있는 코드만 쭉~~ 모아볼까요?;

=============================================================
MOV   EDI, EDI
XCHG   EAX, EBP
PUSH   EAX
XCHG   EAX, EBP
MOV    EBP, ESP
MOV    EAX, DWORD PTR FS:[18]
MOV    ECX, DWORD PTR [EAX+30]
MOV    EAX, DWORD PTR SS:[EBP+8]
CMP    EAX, -0C
JE     Kernel32.7C830A42
CMP    EAX, -0B
JE     Kernel32.7C830A37
CMP    EAX, -0A
JE     Kernel32.7C839BC1
MOV    ECX, EAX
AND    ECX, 10000003
CMP    ECX, 3
PUSH  EAX
JE     Kernel32.7C81D3CF
CALL  DWORD PTR DS:[<&ntdll.NtClose>]
TEST  EAX, EAX
JL     Kernel32.7C830A2A
SUB    EAX, EAX
INC    EAX
POP    EBP
RETN  4
=============================================================

요렇게 모인 코드와... 조~~기 위의 CloseHandle API 코드를 비교를 해볼까요~~ㅋ

붉은색으로 칠한 코드빼고는 완전히 똑같은 걸 알 수 있습니다..

붉은색으로 칠한 코드는... =0=;; 코드 자체는 살짝 다르긴 하지만.. 동작은 동일합니다..;

XCHG  EAX, EBP
PUSH  EAX
XCHG  EAX, EBP 

이 부분에 대한 내용은 위에서 언급을 했으니 넘어가고..


SUB  EAX, EAX...

원본 코드에선 XOR EAX, EAX 가 되어있는데...

XOR 이나 SUB 나.. 앞뒤로 같은 레지스터를 넣어버리면

둘다~ 해당 레지스터의 값을 0 으로 만들어버린다는 것은 동일하거든요;;


즉, Themida 의 API Wrapping 을 정리를 하자면...

"원래 API 의 코드를 새로운 메모리에 복사를 하면서 정상코드를 더미코드 / 정크코드와 같이 섞어두는 것"
정도면 되려나요...;;;

더미코드 / 정크코드를 실행하는 중간에 정상코드를 실행하도록해서 분석을 어렵게 만드건데...

흠... API Redirect 개념과는 조금 다르지 않나 생각되네요...;;


아...  보너스로 Themida 에서 보이는 코드 변형 패턴은.. 대체로 아래와 같은 형식입니다..

XOR  EAX, EAX
=> SUB  EAX, EAX

PUSH  EBP
=> Type1) XCHG EAX, EBP / PUSH EAX / XCHG EAX, EBP
=> Type2) PUSH ESI / MOV DWORD PTR SS:[ESP], EBP

.......

이상으로 ㅋ.. Themida 의 API Wrapping 에 대한 정리를 마칠까 합니다..ㅡ.ㅡ;;

크... 포스팅에 2시간이나 걸렸네요;;;; ㄷㄷㄷ;;;..

타겟 함수 잡는 것도 꽤 힘들었는데.. 포스팅이 더 힘든;;;;
( 여담이지만.. API Wrapping 에 사용된 더미코드/정크코드는 실행할 때 마다 형태가 달라집니다;; 다형성이죠;;.. )

매번 느끼는거지만.. ㅋ... 실행파일 프로텍터들;;;.. 다른 파일을 감염시키지 않을 뿐;;..

어떻게보면 "바이러스" 와 비슷하다고 볼 수도 있을 것 같네요...ㅋ

그런 측면에서.. 백신들의 인공지능 체크에서 프로텍터들을 감지하는 것도 이해가 가기도 하구요;;ㅋㅋㅋㅋ

암튼.. 오늘은 이만 잘렵니다...ㅋ