반응형
우선은~ 시작하기 전에 "올리디버거 v1.10" 에 대한 내용임을 밝힙니다.
( 2.0 은 아직 플러그인을 지원하지 않는 걸로 알고 있거든요 +_+;; )
올리디버거 본체는 모르겠지만 그 플러그인들은 대부분 'Windows XP' 를 기준으로 작성된 것들입니다.
그래서 동일한 본체에 동일한 플러그인, 동일한 셋팅을 적용하더라도~
OS 가 XP 냐~ Vista, Win7 이냐에 따라 동작이 달라지는 현상이 간혹 발생하곤 합니다~
저는 현재 Windows7 을 사용중인데~
OllyAdvanced 플러그인과 PhantOm 플러그인에서 약간의 문제가 발생하더군요.
( 참고로 OllyAdvanced v1.27 , PhantOm 1.54 를 사용중입니다... )
1. OllyAdvanced 플러그인
- 'Anti-Debug 2' -> Other 의 'Break on TLS Callback' 에 체크를 하면,
볼랜드 계열의 컴파일러(C/C++, 델파이)로 생성된 파일을 읽어올 때~ 프로그램이 죽어버립니다.
좀 더 정확하게는 TLS 가 존재하는 파일을 읽을 때 문제가 발생하는 경우가 있는 듯 합니다.
( C++ Builder 나 델파이로 컴파일된 실행파일은 기본적으로 TLS 가 존재합니다. )
< 그림.01 > OllyAdvnaced 플러그인
2. PhantOm 플러그인
- 'custom handler exception' 에 체크를 하면,
디버거에서 'Ctrl + F2' 로 재시작을 할 때, 프로그램이 실행되어 버립니다.
파일을 처음 로딩할 때는 엔트리포인트에서 정상적으로 멈추지만, 재시작을 하면~ 그냥 실행이 됩니다.
( 혹시라도 '악성코드' 를 분석하는 중이었다면~~ 아찔한 상황이 발생하는거죠~~ )
< 그림.02 > PhantOm 플러그인
위의 옵션을을 꺼둔 상태로 사용중인데~ 아직까지는 별다른 문제는 없습니다~ 하.하.하.. ^^
( 드라이버쪽은 XP 시절부터 사용한 적이 없는데다~ Vista, Win7 에서 장담할 수 없으므로~ 패스~ )
Windows7 에서 올리디버거를 사용하는 분들 중~
이와 같은 이상증상이 발생하는 분들은 옵션을 한번 꺼보시기 바랍니다~ : )
ps... 제 PC 에서만 발생한거라면 대략 낭패.. oTL;;...
반응형
'Reverse Engineering' 카테고리의 다른 글
2011~ 코드엔진 컨퍼런스 안내. (3) | 2011.06.14 |
---|---|
같은 명령어, 다른 헥사코드~? (4) | 2011.02.13 |
사람 난감하게 만든 '언인스톨러'... (6) | 2010.03.22 |
3rd 코드엔진(CodeEngn) 컨퍼런스~!! (18) | 2009.06.24 |
간단한 안티-덤프 트릭~ ( LordPE, OllyDBG, etc... ) (6) | 2009.02.26 |