얼마 전 OllyDbg 플러그인 Oreans UnVirtualizer v1.8 이 업데이트 되었네요.. @_@


Themida 를 입은 해킹툴을 분석할 때 가장 난감한게 VM 인데~~


이 플러그인은 Themida VM 을 벗겨주죠~ (*-_-*)


물론 경우에 따라서 이 플러그인으로도 불가능한 경우가 다소 있긴 하지만...


이게 있고 없고의 차이는 꽤 크더라구요..ㅎㅎ @_@


v1.8 에는 다음과 같은 부분이 변경되었습니다...


----------------------------------------------------------------------------------

[v1.8]

- FISH BLACK variant avaible

- Fixed deofuscation order (GenV6)

- New deofucation scheme for FISH machine

- New smart code tracer for FISH machines

- Stack sort for FISH commands

- Improved management of memory (faster deofuscation)

- Added movzx reg32, [esp+eax+memoffset] on CISC machines

- Added a message prompt when the opcode buffer is not enough

- Added LEAVE instruction for FISH machines

- Added support for CALLs to VM section in FISH machines

- CHECK_PROTECTION macro disabled, now it must be restored by hand

- Fixed QWORD incorrect names for some opcodes

- Fixed a problem when deofuscating RISC machines

----------------------------------------------------------------------------------


Oreans UnVirtualizer 만세~!!



Oreans UnVirtualizer v1.8.rar



출처 : Tuts 4 You (http://www.tuts4you.com)



YOUR COMMENT IS THE CRITICAL SUCCESS FACTOR FOR THE QUALITY OF BLOG POST
  1. 123 2014.02.22 09:15  댓글주소  수정/삭제  댓글쓰기

    안녕하세요..ㅎ
    플러그인을 설치하고.. 클리어 버튼을 누르면 메시지창이뜨고 예 누르면 아무것도 안되는거같아요...혹시 사용법을 좀 알 수 잇을가요?
    옵션설정하는것도있는데 ..이건 안건들었어요

    • BlogIcon XeroNic(HS) 2014.02.22 10:26 신고  댓글주소  수정/삭제

      이 플러그인의 특별한 사용법이 있는건 아닙니다..^^;;;
      보통은 VM 코드로 점프하는 명령어에서 Alt - I 키를 누르면...
      플러그인 자체적으로 알아서 다 해줍니다.. ^^;;;
      사용자는 OK 버튼을 누르는 정도만 하면 되구요..

      수많은 코드 중 어느 곳이 VM 코드로 점프하는 곳인지는...
      사용자가 직접 판단을 해줘야되는 부분이구요..

  2. 123 2014.02.22 11:08  댓글주소  수정/삭제  댓글쓰기

    답변감사합니다..
    vm 으로가는코드를 찾았고 알트 I 를 눌렀는데
    아무런 반응이없습니다..ㅠ
    시간되신다면..한번봐주셨으면좋겠습니다...꾸벅.

    • BlogIcon XeroNic(HS) 2014.02.22 12:08 신고  댓글주소  수정/삭제

      참고로 UnVirtualizer 가 만능은 아닙니다...ㅎ..
      VM 으로 가는 코드를 찾아서 Alt - I 를 눌렀는데 반응이 없다면..
      대략 다음과 같은 경우일 수 있겠네요..

      1. Oreans 제품이 아닌 경우...
      -> Oreans 제품군에만 적용되는 플러그인이기 때문에...
      VMProtect 와 같은 다른 제품은 인식하지 못합니다..

      2. VM 코드가 아닌 경우...
      -> Themida 의 경우 VM 매크로 외에도 지원하는 매크로 기능이 많은데..
      이 중에서 겉으로 봤을 땐 VM 과 유사한 코드 형태를 가지는 경우도 있습니다.
      VM 과 코드가 유사하더라도 실제 VM 이 아니면 인식하지 못합니다.

      3. Demo 버전을 사용하는 경우
      -> 이 부분은 확실하게 확인한 것은 아니지만...
      공식홈페이지에서 다운받은 Demo 버전의 경우 인식을 못합니다.

      VM 코드로 점프하는 곳을 따라가보면... 보통
      PUSH xxxxxxxx
      JMP xxxxxxxx
      이런 형태의 코드가 나옵니다...
      형태가 다르다면 UnVirtualizer 에서 인식하지 못할 겁니다..

  3. 123 2014.02.22 16:09  댓글주소  수정/삭제  댓글쓰기

    답변 감사합니다!!