Oreans UnVirtualizer v1.3 (OllyDbg Plugin)

요즘 VM 코드 분석을 익히기 위해서 이런저런 자료를 찾던 중에...

멋진 플러그인을 하나 발견했습니다... +_+;;

이름하여~ "Oreans UnVirtualizer v1.3" !!!..

Themida/WinLicense 등의 VM 코드를 다시 원래 코드로 복원시켜주는 플러그인입니다~~

테스트 샘플 원본 코드

위와 같은 샘플코드를 만들어서 테스트를 해봤습니다.

박스로 둘러쌓인 부분이 VM 코드로 변환되는 부분이죠~

샘플을 Themida 로 패킹한 다음~~ 플러그인을 돌려봤습니다.

플러그인을 사용할 VM_START

아래와 같은 결과물을 뱉어내더군요....

플러그인 사용후 출력된 원본 코드

출력된 코드랑~~ 샘플의 원본 코드랑 =_=;; 같은 코드인거죠...;;;

간단한 코드라고는 하지만 멋지지 않습니까~~!? ㅋ...


물론 Themida 패킹할 때의 VM 설정값에 따라서 복원이 불가능한 경우도 있겠지만~~

Normal 설정값에 만이라도 복원이 가능하다면 분석 작업이 훨씬 수월해질 거 같네요~~ :)

요 플러그인~ 연구좀 해봐야겠네요..ㅋㅋ

ps... 조금 아쉬운 점이 있다면 플러그인이 로딩될때 cfg 파일 4개를 여는데..;;;
       해당파일을 읽어오는 경로가 상대경로로 되어있는게 좀 불편하네요...
       ( 파일을 못찾으면 메시지 박스를 띄우기 땜에...;;; )

Oreans UnVirtualizer v1.3.rar

출처 : Tuts 4 You (http://www.tuts4you.com)