[REVERSING] 안티 디버깅 Static & Dynamic Anti-Debugging

디버깅 방지 또는 분석을 어렵게 함

 

배워야 하는 이유

악성코드 제작자들이 보안 전문가를 어려움에 빠트리기 위한 용도로 사용하여

보안 전문가들은 안티 디버깅의 동작 원리를 파악한 후 회피하기 위함도 있지만

 

일반 개발자들도 해커들의 디버깅으로부터 자신의 프로그램의 보안을 지키기 위해 안티 디버깅을 알아둬야 함

 

학생은 고급 리버싱 기법을 배울 수 있음

 

teamsign.tistory.com/12

eild(강신일)'s 안티 디버깅의 종류

Static 안티 디버깅

: 정적인 방법으로 디버깅을 막는 시스템

보통 한 번만 우회하면 넘어갈 수 있음 (Dynamic 한 방법보다 비교적 쉬운 이유)

 

목적

보통 디버거를 사용했는지를 탐지하기 위함

즉, Static 기법이 적용된 파일은 디버거에 올렸을 때 제대로 실행되지 않거나, 개발자가 넣은 디버그 전용 코드가 실행됨

 

방법

디버깅 프로세스에서 자신이 디버깅 당하는지 여부를 파악하는 기법

디버깅 중이라고 판단 시 일반 실행과는 다른 코드(주로 종료)를 실행함

 

1. 디버거를 탐지한다

2. 디버깅 환경을 탐지한다

3. 디버거를 강제 분리한다

 

자신의 프로세스가 디버깅 당하는지 체크하는 것은 "직접적인 디버거 탐지 방법"

디버깅 환경을 체크해서 디버거의 낌새가 조금이라도 보이면 즉시 실행을 멈추는 것은 "간접적인 디버거 탐지 방법"

 

종류

PEP(Process Environment Block) 현재 프로세스의 디버깅 여부

PEB 구조체 정보를 이용하여 현재 프로세스의 디버깅 여부를 판단한다

중요 PEB 멤버0x002 BeingDebugged: Unchar0x00c Ldr                           : Ptr32 _PEB_LDR_DATA0x018 ProcessHeap      : Ptr32 Void0x068 NtGlobalFlag      : Uint4Blapislazull.tistory.com/59

 

TLS Callback 함수

Entry Point보다 먼저 실행되는 특징을 이용함

해당 함수 내에서 IsDebuggerPresent() 등의 함수로 간단히 디버깅 여부를 판단하여

프로그램을 실행시킬지 말지를 결정할 수 있음

 

[API]  NtQueryInfromationProcess() 현재 프로세스의 디버깅 여부

현재 프로세스의 디버깅 관련 정보를 비롯하여 매우 다양한 정보를 얻을 수 있음

 

[API]  NtQuerySystemInformation() 현재 환경

현재 OS가 Debug Mode로 부팅되었는지를 판단함

 

[API]  NtQueryObject() 현재 환경?

시스템의 커널 객체 정보를 구해오는 함수

시스템 - 어떤 디버거가 다른 프로세스를 디버깅 중일 때 DebugObject 타입의 커널 객체가 생성됨

이 객체의 존재를 확인함

 

[API] ZwSetInformationThread() 디버거 강제 분리

thread에 정보를 세팅하는 System Native API

현재 프로세스에서 강제로 디버거를 떼어낼 수 있음(Detach)

 

TEB(Thread Environment Block)

각종 API를 이용한 방법

Targeting 이용한 방법

...

 

codeEngine basic 4번 문제

일반 실행 시 정상이라고 print문을 보내는 파일디버깅 시도 시 정상실행되지 않고

디버깅 모드에서만 사용하는 알고리즘으로 빠지게 됨→ IsDebuggerPresent() 라는 PEB를 참고하는 API 때문

 

우회

탐지 코드에서 얻어오는 정보를 파악하여, 그 정보 자체를 변경해버린다

API hooking이나 디버거 자체 플러그인을 사용

 

Dynamic 안티 디버깅

Static보다 훨씬 번거로우며 우회가 까다로움

디버거 탐지를 통해 막는 Static과는 다르게 내부 코드와 데이터를 숨기기 위해 디버깅 도중 수시로 나와 더 까다로움

 

디버깅을 진행하면서 안티 디버깅을 만날 때 마다 해결해야 하는 기법

디버거 트레이싱을 방해하여 원본 프로그램의 코드와 데이터를 확인할 수 없게 만듦

ㄴ분석행위; 프로그램의 내부 Instruction을 하나씩 실행하면서 레지스터, 메모리(스택) 등을 실시간으로 확인하는 것.

 

 

 

종류

SEH(Structured Exception Handling) 메커니즘

정상적으로 실행된 프로세스에서 예외(Exception)가 발생하면 OS에서 예외를 받아 프로세스에 등록된 SEH를 호출해줌

디버기에서 예외가 발생하면 디버거에서 예외 처리를 담당하게 되는데 이런 특징을 이용하여

정상 실행되는 경우와 디버깅 당하는 경우를 판별해서 서로 다른 동작을 수행할 수 있다.

(아직 이해가 잘...)

 

Timing Check

디버거를 이용해 코드를 한 줄씩 트레이싱하며 진행하면 정상적으로 실행될 때 보다 비정상적으로 오랜 시간이 소요됨

이런 실행 시간의 차이를 측정하여 디버깅 여부를 판별함

 

0xCC(Breakpoint) Detection

프로그램을 디버깅할 때 Software BP(BreakPoint)를 많이 설치함

BP의 x86 Instruction 0xCC를 발견하여 디버깅 여부를 판별한다

 

 

디버거의 특징을 역이용해 INT 3 등을 써서 Break Points를 이용한 방법

TF값을 1로 조작해서 CPU를 Single Step으로 전환시켜서 EXCEPTIONS SINGLE STEP 예외를 발생 시킴

자주 디버깅을 위해 분석하는 API의 첫 바이트 코드가 CC(Break Point)일 때 디버깅을 탐지하는 방법

 

안티 디버깅의 종류

www.openrce.org/reference_library/anti_reversing

우회

API hooking이나 디버거 자체 플러그인을 사용

 

 

 

---

 

우회 실습

1. dakuo.tistory.com/40

2. blog.naver.com/PostView.nhn?blogId=wwwkasa&logNo=220363504263&parentCategoryNo=&categoryNo=62&viewDate=&isShowPopularPosts=false&from=postView

3. iforint.tistory.com/51