http://jumpzero.tistory.com/18
위 포스트의 마지막에 언급한, 바람의 나라 관련 툴이 네이버피시그린에서 진단된다고 합니다.
(뭐하는 툴인진 잘 몰겠습니다. 창모드 툴이라고 하는데 아마 전체화면대신 창모드로 게임을 하게 해주는 도구인듯 합니다. 근데 이거 게임프로그램을 변조하는 거므로 불법아닌가요? ㅋㅋ)
계정 도난 피해자가 있는지라, 피해자들이 저 툴에 의해 id/pw가 유출된건지 궁금해하는 분들의 문의가 있었는데요.
그건 솔직히 까보기 전엔 모릅니다.
제게 그 툴이 있는게 아니여서 제가 분석하거나 직접 백신으로 진단해 보지도 못했구요.
다만 위 포스트에 툴 개발자분께서(카넬리아님)
라고 리플을 달아주셔서 테스트해보고 그 결과를 올립니다.
피시그린 실시간감시를 켠 상태에서, 일반 더미 dll을 themida로 팩해서 계산기에 inject 해봤습니다.
결과를 말씀드리면
피시그린(Kaspersky AV)은 themida 2.0.3.0으로 팩된 dll을 인젝트 해도 진단하지 않습니다.
뭐, 원본프로그램이 없는 상태에서 이런 test는 무의미할 듯 합니다.
게임은 변조해서 플레이하면 제가알기론 범법은 아닙니다.
(창모드 정도라면 말이죠.)
그런데 EULA 위반입니다. 게임을 할 자격이 상실되죠.
정 전체스크린이 맘에 안드신다면 vmware 쓰심이 =ㅅ=;;
3d만 아니면 웬만하면 vmware에서도 될껍니다.ㅋㅋ
일주일만에 쓰는 뻘글이었습니다. 케케
(오늘 영화 해바라기를 봤습니다. 김래원을 다시보게 됐습니다.
'관객의 갑갑함을 최고로 끌어올리다가 마지막에 뻥터트리는 유형'입니다만... 그래도 감동입니다. ㅠㅠ 추천)
--------------------------------
Kaspersky는 themida의 advanced option중 하나인 Hide from pe scanners를 type2로 하면 suspicious 처리합니다.
그래서 진단되는 것입니다.
진단명도 suspicious네요
위 포스트의 마지막에 언급한, 바람의 나라 관련 툴이 네이버피시그린에서 진단된다고 합니다.
(뭐하는 툴인진 잘 몰겠습니다. 창모드 툴이라고 하는데 아마 전체화면대신 창모드로 게임을 하게 해주는 도구인듯 합니다. 근데 이거 게임프로그램을 변조하는 거므로 불법아닌가요? ㅋㅋ)
계정 도난 피해자가 있는지라, 피해자들이 저 툴에 의해 id/pw가 유출된건지 궁금해하는 분들의 문의가 있었는데요.
그건 솔직히 까보기 전엔 모릅니다.
제게 그 툴이 있는게 아니여서 제가 분석하거나 직접 백신으로 진단해 보지도 못했구요.
다만 위 포스트에 툴 개발자분께서(카넬리아님)
themida로 팩된 dll을 타 프로세스에 인젝션시 진단하는 것 같다
라고 리플을 달아주셔서 테스트해보고 그 결과를 올립니다.
피시그린 실시간감시를 켠 상태에서, 일반 더미 dll을 themida로 팩해서 계산기에 inject 해봤습니다.
결과를 말씀드리면
피시그린(Kaspersky AV)은 themida 2.0.3.0으로 팩된 dll을 인젝트 해도 진단하지 않습니다.
실험 과정은 별 의미 없지만 첨부해봅니다.(클릭)
뭐, 원본프로그램이 없는 상태에서 이런 test는 무의미할 듯 합니다.
게임은 변조해서 플레이하면 제가알기론 범법은 아닙니다.
(창모드 정도라면 말이죠.)
그런데 EULA 위반입니다. 게임을 할 자격이 상실되죠.
정 전체스크린이 맘에 안드신다면 vmware 쓰심이 =ㅅ=;;
3d만 아니면 웬만하면 vmware에서도 될껍니다.ㅋㅋ
일주일만에 쓰는 뻘글이었습니다. 케케
(오늘 영화 해바라기를 봤습니다. 김래원을 다시보게 됐습니다.
'관객의 갑갑함을 최고로 끌어올리다가 마지막에 뻥터트리는 유형'입니다만... 그래도 감동입니다. ㅠㅠ 추천)
--------------------------------
Kaspersky는 themida의 advanced option중 하나인 Hide from pe scanners를 type2로 하면 suspicious 처리합니다.
그래서 진단되는 것입니다.
진단명도 suspicious네요
Trackbas address :: http://jz.pe.kr/trackback/26
-
Tracked from jz in reverse engineering
at 2008/11/30 00:58
삭제
Subject: Themida를 악성 진단해버리는 AV들..
Themida는 강력한 프로텍터로 한창 이름을 날리고 있습니다. 거대한 바이너리와 많은 안티코드/스레드들, 가상의 cpu를 에뮬레이션하는 가상화등 리버서들에게 고통을 주고 있죠 특히 이 '가상화' 개념은 평이 좋아서, 제작사인 Oreans는 따로 Code Virtualizer(CV)란 제품도 내놓았습니다. CV는 컴파일 전에 소스에 시작/끝의 인식자를 심어놓고 (vs의 경우 _asm _emit) 컴파일 후의 바이너리를 검색해서 인식자 사이를 가상화.....
-- 링크 삭제 --
패킹안된 DLL 과 Themida 설정파일 입니다
대충 패킹해보니 PC그린에서 안잡길래 왜그런가 했는데
설정에 따라 다른가보군요... dll.tmd 불러서
그 설정대로 패킹했더니 완료되는 순간 바이러스라고 뜨네요
어쩔 수 없고요. dll 은 패킹옵션 한두개 잘못주면 오동작해버려서..
받으셨으면 댓글 달아주세요 링크는 계속 노출시키기가 싫네요..
받아서 링크 삭제해드렸습니다.
근데 작성자가 제닉으로 바뀌네요^^;