Themida 단순 Unpack

악성코드 분석을 하다보면 여러가지 팩커를 만나는데 너무 힘들게 하는 패커는 더미다 이다. 

분석을 편하게 완벽하게 만들수는 없지만 간단한 방법으로 언팩하는 방법을 기술 한다.

# 이방법은 단순히 메인 함수를 찾는 방법이다 . 더미다의 분석 방해 기법인 API리다이렉트 등에 대한 해결책은 제시 되어 있지 않다. 

1. 더미다 안티 디버깅 우회

종종 이런것들이 힘들게 한다 PhamtOm플러그인으로 우회를 할껀데 귀찬으니까 옵션을 다켠다.

2. ZwFreeVirtualMemory 에 BP

ZwFreeVirtualMemory 에 BP를 건다. 

3. 코드섹션 값 확인

Shift + F9 를 눌러가면서 코드섹션 값을 확인한다.

 코드섹션 값이 코드로 변하면 ZwFreeVirtualMemory 에 BP 없엔다.

4. 메인 함수 찾기

코드섹션에서 B8 4D5A0000 바이너리를 찾고 BP를 걸고 Shift + F9 를 누른다

이후 F8을 누르면서 진행하다 보면 메인 함수로 들어가는 곳을 발견할수 있다.