http://jumpzero.tistory.com/18

위 포스트의 마지막에 언급한, 바람의 나라 관련 툴이 네이버피시그린에서 진단된다고 합니다.

(뭐하는 툴인진 잘 몰겠습니다. 창모드 툴이라고 하는데 아마 전체화면대신 창모드로 게임을 하게 해주는 도구인듯 합니다. 근데 이거 게임프로그램을 변조하는 거므로 불법아닌가요? ㅋㅋ)

계정 도난 피해자가 있는지라, 피해자들이 저 툴에 의해 id/pw가 유출된건지 궁금해하는 분들의 문의가 있었는데요.

그건 솔직히 까보기 전엔 모릅니다.

제게 그 툴이 있는게 아니여서 제가 분석하거나 직접 백신으로 진단해 보지도 못했구요.

다만 위 포스트에 툴 개발자분께서(카넬리아님)

themida로 팩된 dll을 타 프로세스에 인젝션시 진단하는 것 같다

라고 리플을 달아주셔서 테스트해보고 그 결과를 올립니다.

피시그린 실시간감시를 켠 상태에서, 일반 더미 dll을 themida로 팩해서 계산기에 inject 해봤습니다.

결과를 말씀드리면 

피시그린(Kaspersky AV)은 themida 2.0.3.0으로 팩된 dll을 인젝트 해도 진단하지 않습니다.




뭐, 원본프로그램이 없는 상태에서 이런 test는 무의미할 듯 합니다.

게임은 변조해서 플레이하면 제가알기론 범법은 아닙니다.
(창모드 정도라면 말이죠.)
그런데 EULA 위반입니다. 게임을 할 자격이 상실되죠.
정 전체스크린이 맘에 안드신다면 vmware 쓰심이 =ㅅ=;;
3d만 아니면 웬만하면 vmware에서도 될껍니다.ㅋㅋ

일주일만에 쓰는 뻘글이었습니다. 케케

(오늘 영화 해바라기를 봤습니다. 김래원을 다시보게 됐습니다.
 '관객의 갑갑함을 최고로 끌어올리다가 마지막에 뻥터트리는 유형'입니다만... 그래도 감동입니다. ㅠㅠ 추천)





--------------------------------

Kaspersky는 themida의 advanced option중 하나인 Hide from pe scanners를 type2로 하면 suspicious 처리합니다.

그래서 진단되는 것입니다.

진단명도 suspicious네요