http://code.google.com/p/healiat/

 

휴가때 잠깐 Themida의 API Redirection을 봤고

 

복구해주는 툴을 만들어 봤습니다.

 

첫 아이디어는 간단했는데 .. 원래 Obfuscation은 한가지 방식을 걷어내면 다른 방식이 튀어나오기 마련이죠 ㅠㅠ

 

결국 처음에 생각했던 기능보다 많이 나가서, obfuscation도 해제하고, 함수코드들도 비교하는 기능까지 나갔습니다.

 

Themida를 대상으로 잡고 구현했는데, 다른 웬만한 패커의 api redirection도 해제해줄 겁니다.

 

일단 Themida는 API Redirection코드가 VM만큼 꼬여있진 않습니다.

 

VM은 이만큼 꼬여있음-> http://jz.pe.kr/42

 

 

show me the money!

 

 

Themida 본체에 돌려봤습니다. jmp 63a03f3 이런게 다 redirection임.

 

돌리고 나면

 

 

이렇게 됩니다.

 

 

이건 원순철씨가 만든 wDetector입니다. Themida로 팩돼있습니다.

 

이렇게 복구됩니다.

 

돌리고 난 뒤에 ImportREC를 쓰시면 됩니다.