[Tool] OllyDebugger(올리디버거) 사용법
리버싱을 하기 위해서 사용되는 툴중에 디버거라는 툴이 있으며, 이중 가장 많이 애용되는 도구가 OllyDbg(올리디버거)입니다.
바로, 아래 로고를 갖고 있는 툴입니다.
올리디버거의 다운로드는 아래 링크를 따라가시면 다운로드를 받을 수 있습니다.
올리디버거의 편리한 점은 무설치 프로그램이라는 점이긴 하지만, 그만큼 설정해 줘야하는 부분도 몇군데 있군요.
일단, 올리디버거를 다운 받아 압축을 해제하시고, 올리디버거 폴더 내부에 'UUID'와 'Plugin' 폴더를 각각 생성합니다.
이제, 올리디버거를 실행시킨 후, [OPTION] → [Appearance] → [Directories] 에서 'UDD Path'와 'Plugin Path'를 위에서 생성한 폴더로 지정해 줍니다.
이제 기본적인 설정이 완료되었습니다.
그 밖에 추가적으로 설정해주면 좋은 부분을 알려드리도록 하겠습니다.
1. WinAPI 자동연결
· [Help] → [Select API help file]을 선택하신 후, 'win32.hlp' 파일을 선택해 주시면, 자동으로 WinAPI 도움말로 연결됩니다.
2. Jump 라인 표시
· [Options] → [Debugging Options] → [CPU 탭] → [Show jump path] 체크 및 하위 2개 체크 활성화
- 단축키는 아래를 참고하시면 됩니다.
· F2 : Break Point
· F3 : File Open
· F7 : Step Info (함수 안으로 따라갑니다.)
· F8 : Step Over (함수를 건너 뛰고 실행 결과만 확인합니다.)
· F9 : Run Program (Break Point까지 프로그램을 실행합니다.)
· Shift + F7/F8/F9 : 예외 처리기에 걸린 상태를 무시하고 진행.
· Ctrl + F2 : Restart & Reload Program (UDD 폴더에 백업을 저장하고, 문서를 다시 로드합니다.)
· Ctrl + F9 : Run All Program (끝까지 프로그램을 실행합니다.)
· Ctrl + a : 코드 다시 로드
· Ctrl + g : 설정된 주소로 이동하는 단축키
· - : 빠져나가기
· * : 검은색(EIP)로 돌아가기
이제 [File] → [Open] 또는 F3 키를 사용하여 분석하고자 하는 프로그램을 로드 후, 분석을 진행하면 됩니다.
P.S. 올리디버거는 많이 사용되는 분석툴이지만, 동적분석을 진행하는 프로그램이라는 것을 명심해야 할 듯 합니다.
동적분석은 프로그램을 실행해서 분석하는 도구임으로, 올리디버거를 사용하여 악성코드 분석시 해당 프로그램이 동작되기 때문입니다.
P.S. OllyDbg 2.0.1 버전이 새로 추가되어 수정하였습니다.
위 포스팅은 연구 목적으로만 사용되었으며, 악용을 위해 사용되었을 경우 법적 제재가 있을 수 있습니다.
또한, 위 포스팅을 악용하였을 경우 모든 책임은 본인에게 있음을 유의하시기 바랍니다.
'Information Security > Reverse Engineering' 카테고리의 다른 글
[Tools] PEiD - Detect packers, cryptors and compilers bundled withPE executables (0) | 2019.11.24 |
---|---|
[Tool/OllyDbg Plugin] OllyDbg Plugin - ScyllaHide v.1.4 (0) | 2018.10.15 |