Anti-Unpacker Tricks

by Peter Ferrie, Senior Anti-Virus Researcher, Microsoft Corporation


1. Anti-Dumping
   - SizeOfImage
   - Erasing the header
   - Nanomites
   - Stolen Bytes
   - Guard Pages
   - Imports
   - Virtual machines

2. Anti-Debugging
   - PEB fields
   - Heap flags
   - The Heap
   - Special APIs
   - Hardware tricks
   - Process tricks
   - SoftICE-specific
   - OllyDbg-specific
   - HideDebugger-specific
   - ImmunityDebugger-specific
   - WinDbg-specific
   - Miscellaneous tools

3. Anti-Emulating
   - Software Interrupts
   - Time-locks
   - Invalid API parameters
   - GetProcAddress
   - GetProcAddress(internal)
   - "Modern" CPU instructions
   - Undocumented instructions
   - Selector verification
   - Memory layout
   - File-format tricks

4. Anti-Intercepting
   - Write -> Exec
   - Write ^ Exec

5. Miscellaneous
   - Fake signatures

[ 출처 : http://pferrie.tripod.com/papers/unpackers.pdf ]
YOUR COMMENT IS THE CRITICAL SUCCESS FACTOR FOR THE QUALITY OF BLOG POST
  1. BlogIcon vbdream 2009.03.06 17:10  댓글주소  수정/삭제  댓글쓰기

    이거 꽤 좋은 문서죠...^^;; 동일한 저자가 쓴 문서로 Virtual Machine의 취약성과 감지 방법을 주제로 한 pdf 문서도 있습니다. 크크크... 사실 이 pdf 패커 개발에 요긴하게 참고하고 있었던 ^^;;

    • BlogIcon XeroNic(HS) 2009.03.07 14:11 신고  댓글주소  수정/삭제

      아.. ㅋ Virtual Machine 에 대한건 몰랐는데..
      그런것도 있나보군요..^^;
      ㅋ.. 패커 작업은 잘 되고 있나요..? ^^

    • BlogIcon vbdream 2009.03.10 00:43  댓글주소  수정/삭제

      방학 때 시간날때마다 놀면서 패커 개발 조금씩 하다가(사실 귀차니즘) → 개학하고 나니 시간이 없는...

      악순환의 고리... OTL