1	비공개 손님 … 2015-08-10 09:59:03
	vs밖에 안써봐서 헤헤... 그거 그냥 코드에서 f9 누르면 안되나요?(미침) vm 그거 언팩하는 방법도 있긴 하다던데

4	비공개 손님 … 2015-08-10 11:12:31
	제가 예전에 디스어셈블 한참 하던시절엔 win32dasm 으로 걍 반복 실행하면서 CALL 반복으로 타는 부분 하나하나씩 까보던거 말곤 없었던것 같은데 가끔 심볼네임 strip 안한 exe 그대로 배포하는 회사 있으면 땡큐베리감사 였지만 그런 행운(?) 은 드물었죠

5	비공개 손님 … 2015-08-10 11:13:33
	nprotect 같은거 우회하는 프로그램 만들때 종종 써먹긴 했네요 LD DB$ 'nprotect.exe' 이런 인스트럭션 실행하는 CALL 구문만 쫓아가면 되었으니

6	비공개 손님 … 2015-08-10 11:14:26
	물논 win32dasm은 static disassembler 라서 안랩 핵쉴드처럼 런타임마다 구조 바꾸는것들 만나면 답없긴하지만... ㅋ

7	비공개 손님 … 2015-08-10 12:13:04
	개빡치네요..그나마 ollydbg에선 브포걸고 인스트럭션 바꾸는게 어느정도 됐는데 ㅁㄴㅇㄹ ida 에서 브포걸고 디버깅 시작만 해도 vmprotect 에서 바이러스나 크랙된게 감지됐다고 경고 뜨면서 죽어버림.. 십ㄹ..씨밞ㄴㅇㄹ

8	비공개 손님 … 2015-08-10 17:51:03
	해당 팩커에 대한 언팩커를 찾아보세요. 없으면 직접 분석해야하는데... IDA에서 보려면 디버거 체크 우회를 먼저 하고 언팩을 하셔야합니다...만 쉬운일은 아니고.. 좀더 쉬운 방법으로는 가상 PC에 WinDBG를 커널 모드로 붙여서 디버깅 하면 됩니다. 간간히 커널 디버거를 체크하는 놈도 있는데, 이건 NtQuerySystemInformation등의 커널 디버거 체크 함수를 우회하게 만들어야합니다.

9	비공개 손님 … 2015-08-10 17:55:16
	혹시 IDA가 Pro버전이면 IDA로 커널 디버깅도 가능

10	비공개 손님 … 2015-08-10 18:08:29
	그리고 특정 행동 했을 때 루틴 잡는건 Conditional Break Point를 이용하면 됩니다. 버튼 클릭을 잡는다고 하면.. 버튼을 클릭후에 에디트 박스에 입력한걸 가져간다던지 하는 행동을 한다면, 결국은 GetWindowText(버튼핸들)라던지 SendMessage(버튼핸들, WM_GETTEXT, ...)를 호출해서 문자열을 가져가야하는데 저 함수들에 브레이크 잡고 함수 인자를 확인해서 특정 값이 아니면 그냥 go를 수행하도록 스크립트를 짜면 됩니다. 만약 저런게 없고 그냥 버튼 누르면 뭔가 수행하는 형태라면... 결국은 메시지가 처리 되려면 WindowClass에 등록된 Window Procedure가 호출되어야하기 때문에, 컨트롤이 올라가있는 윈도우의 윈도우의 Window Procedure를 구해서 브레이크 포인트를 잡고, 위처럼 함수 인자를 스크립트로 확인해서, 버튼 클릭 메시지를 잡아서 Step으로 추적하면 되겠습니다.

11	비공개 손님 … 2015-08-10 22:01:08
	댓글들 감사합니다 8668

12	비공개 손님 … 2015-08-10 22:54:29
	언패커 찾아서 다운로드 받고 스크립트 적용하려고 하는데 시발 백신이 3개의 백도어를 발견했다고..ㅁㄴㅇㄹ;ㅣㅏ 근데 리플들 보면 바이러스 이야기는 없는데... 백신 오작동인가

13	비공개 손님 … 2015-08-11 06:42:57
	그런 알수없는 가상PC에서 쓰는거죠 [..] 가급적이면 프로그램 분석도 가상PC에서 하는게 좋습니다. 그래야 스냅샷으로 원상복구해서 같은 상황을 재현하기 쉬워서...