ASM --> C --> IDA Python Script

오늘 본 샘플 중에 아래와 같은 코드가 있었다. 악성코드들이 사용하는 문자열을 strings.exe 와 bintext.exe 와 같은 툴에 노출되는 것을 꺼려하여 문자열에 꼬아놓는 경우가 있는데, 이번에는 문자열 중간에 알파벳이 아닌 문자열을 삽입해 놓고 사용하기 전에 아래와 같은 함수를 호출하여 제거하는 것이다.

[그림] DecodeStr 함수를 사용하는 코드

DecodeStr() 함수를 리버싱 해보면 아래와 같고 그것을 C 언어로 표기해보고 IDAPython 스크립트를 사용하여 IDA 에서 꼬인 문자열을 보기 쉽게 출력하였다.

B9D0 ; int __cdecl DecodeStr(char *pLib, char *pFunc)
B9D0 LibFileName     = byte ptr -80h
B9D0 String2         = byte ptr -40h
B9D0                 sub     esp, 80h
B9D6                 mov     ecx, 10h
B9DB                 xor     eax, eax
B9DD                 push    ebx
B9DE                 push    ebp
B9DF                 push    esi
B9E0                 mov     esi, [esp+8Ch+pLib]
B9E7                 push    edi
B9E8                 lea     edi, [esp+90h+LibFileName]
B9EC                 rep stosd
B9EE                 mov     ebp, ds:isdigit
B9F4                 mov     ecx, 10h
B9F9                 lea     edi, [esp+90h+String2]
B9FD                 rep stosd
B9FF                 cmp     byte ptr [esi], 0
BA02                 jz      short locBA38
BA04                 lea     edi, [esp+90h+LibFileName]
BA08
BA08 locBA08:                         ; CODE XREF: DecodeStr+66j
BA08                 movsx   eax, byte ptr [esi]
BA0B                 push    eax
BA0C                 call    ebp ; isdigit
BA0E                 add     esp, 4
BA11                 test    eax, eax
BA13                 jnz     short locBA2B
BA15                 movsx   ecx, byte ptr [esi]
BA18                 push    ecx
BA19                 call    ds:isalpha
BA1F                 add     esp, 4
BA22                 test    eax, eax
BA24                 jnz     short locBA2B
BA26                 cmp     byte ptr [esi], 2Eh
BA29                 jnz     short locBA30
BA2B
BA2B locBA2B:                         ; CODE XREF: DecodeStr+43j
BA2B                 mov     dl, [esi]
BA2D                 mov     [edi], dl
BA2F                 inc     edi
BA30
BA30 locBA30:                         ; CODE XREF: DecodeStr+59j
BA30                 mov     al, [esi+1]
BA33                 inc     esi
BA34                 test    al, al
BA36                 jnz     short locBA08
BA38

위와 같은 어셈코드를 C 언어로 만들어 보면 다음과 같다.

int DecodeStr(char *pLib, char *pFunc)
{
	char szTemp[0x40];
	int i=0; j=0;
	char ch;

	memset(szTempp, 0x00, 0x40);

	while( (ch=pLib[i++]) != NULL )
	{
		if (isdigit(ch) || isalpha(ch) || ch == 0x2E)
			szTemp[j++] = ch;
	} 
	// ...	
}

위와 같은 C 언어를 IDAPython 스크립트 언어로 사용하기 위해서는 아래와 같은 코드를 사용하면 될 것 같다.

ea = ScreenEA()
str = ""
while True:
   b = Byte(ea)
   if b == 0:
      break;
   if b==0x2E or (b>=65 and b<=90) or (b>=97 and b<=122):
      str += chr(b)
   ea += 1
print str 

그럼 도움이 되셨길...