[Anti-Reversing] Anti Disassembly 구현

요약: VS의 __asm{} 내부에 _emit으로 0xE9/0xE8등의 데이터를 삽입해, 디스어셈블러의 정상적인 바이너리 해석을 방해할 수 있음

anti disassembly란?
디스어셈블러 프로그램이 실행파일을 읽고 그 흐름을 분석하는 것을 방해하는 기술.
실제 실행과는 다른 명령어를 보여주도록 디스어셈블러를 속이는 것이 가능하다.

원리
디스어셈블러의 가정과 제약을 이용하여, 유효한 명령을 디스어셈블러로부터 숨길 수 있다
디스어셈블러는 크게 선형 중심/흐름 중심으로 나뉘는데, 선형 중심의 디스어셈블러는 opcode를 하나하나 번역하고, 흐름 중심 디스어셈블러는 분기문에 유의하며 opcode를 번역한다.

흔히들 사용하는 IDA의 경우는 대표적인 흐름 중심 디스어셈블러로, JZ/JNZ 등 조건부 점프가 수행될 때 false branch (조건에 맞지 않을 때의 코드)에 초점을 맞춰 디스어셈블을 수행한다. 이러한 점을 역으로 이용하면 손쉽게 안티 디스어셈블 기술을 구현할 수가 있다.

예를 들어보자면,

xor eax, eax
jz label1
mov eax, 1

label1:

이런 코드가 있다.
eax를 0으로 만든 뒤 ZF가 세팅되어 label1로 점프하는 간단한 코드인데, 한 눈에 봐도 mov eax, 1이라는 명령어는 실행되지 않을 것임을 알 수 있다. 그렇지만 흐름 중심의 디스어셈블러는 jz의 false branch인 mov eax, 1 코드에 초점을 맞춰 디스어셈블을 진행한다. 사용되지 않는 opcode를 먼저 해석해 버린 것으로, 이 특성을 이용해 조건 분기의 사용되지 않는 false branch 영역에 0xE9 (jmp) / 0xE8 (call) 등의 opcode로 해석될 수 있는 데이터를 삽입하면 디스어셈블 과정에 혼란을 야기할 수 있다. 참 쉽죠?

예제 코드
1. JZ + JNZ 동일한 주소
디스어셈블러는 한 번에 한 명령만 해석할 수 있으므로 연속된 JZ와 JNZ 명령의 operand가 동일한 주소를 가리켜도 이를 파악하지 못한다. (아닐수도... 내가 감히 틀렸을수도)

#include <stdio.h>
//compiler: visual studio 2019, x86 debug

int main(void){
    __asm{
        jz label1
        jnz label1
        _emit 0xE9 //0xE9 == JMP, 0xE8 == CALL
    }
 
    label1:
        printf("Successfully executed!\n");
    
    return 0;
}

필자가 사용하는 x32dbg의 경우, 프로그램에 삽입된 0xE9라는 데이터 때문에 디스어셈블을 원활히 실행하지 못하고, 디버거를 붙여 실행 시 디버깅이 중지되는 오류가 발생한다.

2. XOR [arg], [arg] -> JZ [mem]
똑같은 operand를 xor 했으므로 ZF가 세팅, 무조건적으로 JZ가 실행되지만 마찬가지로 디스어셈블러는 실행되지 않는 false branch에 중점을 두어 작동하기 때문에 JZ false branch의 데이터, 0xE9나 0xE8이 opcode로 해석되고 그 결과로 이 영역부터 프로그램의 어셈블리 코드 해석이 밀린다.

#include <stdio.h>

int main(void){
    __asm{
        xor eax, eax
        jz label1
        _emit 0xE9
    }
    
label1:
    printf("Successfully executed!\n");
   
    return 0;
}

당연한 소리지만 _emit 0xE9 뒤의 "Successfully executed!\n" 문자열도 검색할 수 없다.

분석 방법
기본적으로 IDA는 anti disassemble 기법이 적용된 것으로 보이는 영역을 빨갛게 하이라이팅 해 보여주는데, 이 정보를 가지고 Hex view 창에서 anti disassemble을 위해 삽입된 헥스 값을 0x90 (==nop)으로 패치할 수 있다.

디버거를 사용할 경우에는 위의 예시에 근거하여 (jnz+jz / xor+jz) 프로그램 흐름이 망가지기 시작하는 부분을 찾고, 그 부분을 0x90으로 패치하면 된다.

원리도 어렵지 않고 쉽게 구현 가능하지만, 하마터면 분석가를 속일 수 있는 강력한 기술임은 틀림없어 보인다. 디스어셈블러의 기본적인 가정을 활용해 이런 기술을 만들어 냈다는 점이 흥미롭다.