'upack'에 해당되는 글 1건

  1. 2007/01/23  Upack Unpacker (언패커) (4)

Upack Unpacker (언패커)

Posted by Jerry on 2007/01/23 09:22
Filed under Unpack
Tags : , ,
실행압축은 실행 파일의 사이즈를 줄이는 기능 이외에 내용을 암호화(?) 시키는 기능도 제공 합니다. 따라서 대부분의 악성코드들이 실행 압축을 사용합니다. 따라서 분석시에는 이런 압축을 해제해야지만 파일 내부를 살펴볼 수 있어 분석이 가능하게 되므로 자연스레 분석 시간이 늘어나게 됩니다.
UPX와 같이 정말 쉽게 디버깅상에서 압축이 해제되는 방식도 있지만 그렇지 않은 방식도 많습니다. Upack의 경우 해제시 시간이 많이 걸립니다. 최근 이를 해제해주는 툴을 발견했습니다.

WinUpack Stripper이란 이름을 가진 프로그램으로 현재 최신 버전이 0.3x 입니다.


사용자 삽입 이미지

[그림 1] WinUpack Stripper v0.3x 실행 화면

테스트결과 DLL은 풀지 못 하지만, 일반 실행 파일(EXE)의 경우 잘 풀어 냅니다. 사용 방법은 파일을 그냥 드래그 앤 드랍(drag and drop)만으로 가능하며, 압축이 해제된 파일은 본래 파일명 뒤에 ".un_"라는 접미사가 추가 됩니다.

연구 목적의 리버스엔지니어링이나 악성코드 분석시 유용한 툴 입니다.

다운로드(download)
WUpack.zip
크리에이티브 커먼즈 라이센스
Creative Commons License
이올린에 북마크하기(0) 이올린에 추천하기(0)
Trackback 0  |   Comment 4
Trackback URL >> http://mireenae.com/trackback/41
  1. Mins 2007/01/23 12:08  댓글주소  수정/삭제  댓글쓰기
    바이러스 체이서에서는 해당 파일을 BackDoor.Pigeon.516 으로 탐지하고 있네요... 오탐일까요?
  2. Jerry 2007/01/23 14:41  댓글주소  수정/삭제  댓글쓰기
    Mins / 바이러스체이서가 사용하는 Dr.Web 엔진에서는 현재 진단하지 않고 있습니다. 현재 시그니처(signature)로 진단하는 업체는 Ikarus, VBA32이며, 나머지는 휴리스틱 또는 패커로 인해 진단되는 것 입니다. 해당 프로그램은 nSPack로 팩 되어 있습니다. 이 실행 압축은 악성코드가 주로 사용하는 실행 압축 툴로 Anti Virus업체에서는 휴리스틱으로 진단하는 업체가 많이 있습니다.
    아마 진단 추가 했다가 오진으로 인해 Dr.Web에는 진단 제외 되었을 것으로 추측되며 타사에는 연락이 되지 않아 처리가 되지 않은 것 같습니다. 해당 엔진을 사용하는 바이러스체이서 역시 동일하게 전달되지 않아 아직 제외되지 않은 것으로 보입니다.
  3. Emilio 2007/02/27 21:34  댓글주소  수정/삭제  댓글쓰기
    Hi, congratulation for you good work.
    Can you send me the source code ? please. My email is emilio@guerradigital.com.br. Do you can unpack without execute the process ?
    Tanks
    Emilio
Leave a comment
◀ prev 1 next ▶