cheatEngine
-
DLL 바이너리 수정으로 BreakPoint 걸기System/Reversing 2019. 10. 7. 19:23
프로그램을 분석하다보면, 안티디버깅의 탐지로 인해일반적인 디버거(x64dbg, windbg...)의 동적분석이 불가능한 경우가 있다.디버거로 탐지를 우회하는 방법도 있지만, CheatEngine은 탐지 안하는 경우가 많기 때문에해당 툴로 동적분석을 진행할 수 있다. CheatEngine자체의 BP기능을 사용할 수도 있지만, 이것 또한 사용하지 못하는 경우에는아래와 같은 방법으로 BP를 걸 수 있다. [ DLL 바이너리 수정 ]DLL의 2Byte opcode를 "EB FE"로 수정하면 해당 부분에서 BP가 걸린듯한 효과를 볼 수 있다. 또한, "int3"(CC) Interrupt를 탐지하는 안티 디버깅도 우회할 수 있다. "EB FE"는 자기 자신으로 JMP하는 opcode로서, CheatEngine으로 ..
-
[CheatEngine] Themida Debugger 탐지 우회#1System/Reversing 2019. 7. 10. 13:15
Windows환경에서 Themida로 패킹되어 있는 프로그램을 CheatEngine으로 분석할 때 우회 팁이다. 우선 탐지하는 수준이 엄격하냐, 느슨하냐 차이가 있겠지만나같은 경우는 CheatEngine이 실행되어 Target Process에 Attach하는 것까지는 탐지하지 않고 있었다. [ CheatEngine Error ]Attach이후에 BreakPoint를 설정하거나, Memory를 조작하는 순간 위와 같은 에러창이 뜨면서 Target Process가 종료되는 상황이였다. [ Themida Packing ]Target Process를 ExeInfo로 확인해보니 Themida로 패킹된 것을 확인할 수 있었다. 보통 이런 Anti-Debugging을 우회하는 방법 중 하나가 User영역에서 메모리를..