Software Engineer English & Software Engineering Blog - Sean

프로세스를 모니터 하기 위해 PROCMON을 실행하면 카카오톡에서 Themida 관련 경고창을 띄운다.

PROCMON24 라는 필터가 등록되어 있는것을 확인할 수 있다.

※ 미니 필터 관리 도구

더 이상 경고창이 뜨지 않는다.

위 방법은 경고창이 뜨는건 해결하지만 계속해서 Process Monitor를 사용하기는 불편하다. Themida가 Process Monitor를 검색하지 못하도록 아래와 같은 세 가지 Process Monitor 내부의 유니코드(UTF-16) 문자열을 다른 문자로 바꿔보자.

PROCMON[Version].SYS        ex) PROCMON24.SYS
PROCMON_WINDOW_CLASS
Process Monitor - Sysinternals: www.sysinternals.com

위 문자열은 procmon64.exe에 하나씩 존재하는 문자열이 아니다. 파일 내부 여기 저기 있어서 일일이 하나씩 바꾸기 쉽지 않다. 아래와 같은 파이썬 스크립트를 이용해 한 번에 찾아서 모두 바꿔주자.

더보기

사실 HxD 같은 프로그램의 Replace 명령으로도 할 수 있다.

 

import binascii
import re

def replace_pattern_in_file(file_name, pattern, replacement):
    byte_sequence = pattern.encode(encoding="utf-16le")
    with open(file_name, 'r+b') as f:
        file_content = f.read()
        print(f"Searching for pattern: {pattern}")

        # Find all occurrences of the byte sequence in the file content
        # Case-sensitive search
        for idx, match in enumerate(re.finditer(byte_sequence, file_content)):
            print(f"{idx+1:2}. {binascii.unhexlify(binascii.b2a_hex(match.group())).decode(encoding='utf-16', errors='ignore')} found at byte offset: {hex(match.start()).upper()}")
            
            f.seek(match.start())
            f.write(replacement.encode(encoding="utf-16le"))
            print(f"   => Replaced with: {replacement} at byte offset: {hex(match.start()).upper()}")

file_name = "Procmon64.exe"
pattern = "PROCMON24.sys"

replace_pattern_in_file(file_name, pattern, "Q")

※ 참고

2025.11.09 - [Python] - Binary File Unicode String Edit 바이너리 파일 유니코드 문자열 편집

Themida에 잡히지 않는 Process Monitor를 사용하고 싶다면 아래 파일을 다운로드한다.

Procmon64.exe 같은 Qrocmon64.exe

Anti-Disassembly 로 많이 사용되는 EB FF 코드에 대해 간단히 살펴보자.

EB는 1바이트(-128 ~ +127) 이내 거리로 이동하는 Jump Short 명령이다.

위 그림에서 0x0040123F EB 03은 다음 명령어 주소(0x00401241)를 기준으로 03바이트 이동한 0x00401244로 이동한다.

EB 03을 EB FF로 바꿔보자.

FF는 -1을 의미하기 때문에 다음 명령어 주소 0x00401241에서 -1만큼 이동한 0x00401240으로 이동하라는 뜻이다. 그래서 화살표가 다른 곳을 가리키지 않고 명령어 자신을 가리키고 있다. (잘린것 처럼 보인다)

엔터키를 눌러 Jump 명령을 실행해 보면 EB FF 명령 중간인 FF의 위치, 0x00401240으로 이동한다.

※ 참고

ANTI-DISASSEMBLY TECHNIQUES

Assembly “wrapping”: a technique for anti-disassembly

x32dbg/x64dbg를 JIT로 등록해 보자.

x32dbg/x64dbg를 다시 시작해야 적용된다.

#include <stdio.h>

int main()
{
	char* p = NULL;
	*p = 'A';

	return 0;
}

C0000005(EXCEPTION_ACCESS_VIOLATION) 예외가 발생하는 코드를 작성하고 빌드한다.

0x001F1E20에서 [eax]가 가리키는 메모리 주소(0x00000000)에 0x41('A')을 복사하려 하고 있다.

실행되는 명령들의 log를 남겨보자.

Log Text에 아래와 같은 포맷을 지정한다.

0x{p:cip} {i:cip}

Maximum trace count를 적당히 지정한다.

로그 파일의 이름이나 위치를 바꾸고 싶다면 Log File... 버튼을 클릭한다. (특별히 바꾸고 싶지 않아도 지정은 해줘야 한다. 그렇지 않으면 로그 파일이 생성되지 않는다)

※ 참고

Values

Expressions

String Formatting

x64dbg에서 디버깅 중 Pause 명령이 실행되지 않는 경우가 있다.

현재 실행되고 있는 Thread가 Main이 아닌, 7번 14328이기 때문이다. 나머지 Thread는 Suspended 되어 있다.

Pause는 Main 스레드에서만 사용할 수 있다. Main 스레드로 바꾸면 Pause를 사용할 수 있다.

x64dbg와 Claude Desktop, Gemini CLI를 사용해 보자.

x64dbgMCP를 다운로드한다.

{
  "mcpServers": {
      "ghidra": {
        "command": "python",
        "args": [
          "D:\\ProgramFiles\\ghidra\\bridge_mcp_ghidra.py",
          "--ghidra-server",
          "http://127.0.0.1:8080/"
        ]
      },
      "x64dbg": {
        "command": "Python",
        "args": [
          "D:\\Program Files\\x64dbg\\release\\x64\\plugins\\x64dbg.py"
        ]
      }
  }
}

claude_desktop_config.json 파일에 x64dbg 내용을 추가한다.

{
  "selectedAuthType": "oauth-personal",
  "theme": "Default",
  "mcpServers": {
      "ghidra-mcp": {
        "command": "python",
        "args": [
          "D:\\ProgramFiles\\ghidra\\bridge_mcp_ghidra.py",
          "--ghidra-server",
          "http://127.0.0.1:8080/"
        ]
      },
      "x64dbg": {
        "command": "Python",
        "args": [
          "D:\\Program Files\\x64dbg\\release\\x64\\plugins\\x64dbg.py"
        ]
      }
  }
}

Gemini CLI 설정 파일 settings.json에 x64dbg MCP Server 내용을 위와 같이 추가한다.

질문 내용에 따라 Ghidra와 x64dbg를 구분하지 못하는 경우가 있다.

GhidraMCP와 클로드, 제미나이 CLI를 사용해 보자.

Claude에 가입하고 Claude Desktop을 설치한다.

GhidraMCP를 다운로드하고 압축을 푼다. 압축을 풀면 아래와 같은 2개의 파일이 나온다.

 - GhidraMCP-(version).zip

 - bridge_mcp_ghidra.py

이 중 bridge_mcp_ghidra.py 파일은 Ghidra 설치 폴더에 복사한다. (예: D:\ProgramFiles\ghidra)

{
  "mcpServers": {
    "ghidra": {
      "command": "python",
      "args": [
        "D:\\ProgramFiles\\ghidra\\bridge_mcp_ghidra.py",
        "--ghidra-server",
        "http://127.0.0.1:8080/"
      ]
    }
  }
}

위에서 Ghidra 설치 폴더로 복사해 둔 bridge_mcp_ghidra.py 의 경로 D:\ProgramFiles\ghidra 표현 시 역슬래시 2개를 사용하는것에 주의한다.

Gemini-CLI를 설치한다.

{
  "selectedAuthType": "oauth-personal",
  "theme": "Default",
  "mcpServers": {
    "ghidra-mcp": {
      "command": "python",
      "args": [
        "D:\\ProgramFiles\\ghidra\\bridge_mcp_ghidra.py",
        "--ghidra-server",
        "http://127.0.0.1:8080/"
      ]
    }
  }
}

settings.json을 위와 같이 작성한다.

윈도우 API 함수 파라미터를 분석해 보자.

파일을 처음 임포트해서 분석할 때 옵션에서 선택할 수도 있다.

xAnalyzer Link