Software Engineer English & Software Engineering Blog - Sean

Anti-Disassembly 로 많이 사용되는 EB FF 코드에 대해 간단히 살펴보자.

EB는 1바이트(-128 ~ +127) 이내 거리로 이동하는 Jump Short 명령이다.

위 그림에서 0x0040123F EB 03은 다음 명령어 주소(0x00401241)를 기준으로 03바이트 이동한 0x00401244로 이동한다.

EB 03을 EB FF로 바꿔보자.

FF는 -1을 의미하기 때문에 다음 명령어 주소 0x00401241에서 -1만큼 이동한 0x00401240으로 이동하라는 뜻이다. 그래서 화살표가 다른 곳을 가리키지 않고 명령어 자신을 가리키고 있다. (잘린것 처럼 보인다)

엔터키를 눌러 Jump 명령을 실행해 보면 EB FF 명령 중간인 FF의 위치, 0x00401240으로 이동한다.

※ 참고

ANTI-DISASSEMBLY TECHNIQUES

Assembly “wrapping”: a technique for anti-disassembly

실행되는 명령들의 log를 남겨보자.

Log Text에 아래와 같은 포맷을 지정한다.

0x{p:cip} {i:cip}

Maximum trace count를 적당히 지정한다.

로그 파일의 이름이나 위치를 바꾸고 싶다면 Log File... 버튼을 클릭한다. (특별히 바꾸고 싶지 않아도 지정은 해줘야 한다. 그렇지 않으면 로그 파일이 생성되지 않는다)

※ 참고

Values

Expressions

String Formatting

x64dbg에서 디버깅 중 Pause 명령이 실행되지 않는 경우가 있다.

현재 실행되고 있는 Thread가 Main이 아닌, 7번 14328이기 때문이다. 나머지 Thread는 Suspended 되어 있다.

Pause는 Main 스레드에서만 사용할 수 있다. Main 스레드로 바꾸면 Pause를 사용할 수 있다.

x64dbg와 Claude Desktop, Gemini CLI를 사용해 보자.

x64dbgMCP를 다운로드한다.

{
  "mcpServers": {
      "ghidra": {
        "command": "python",
        "args": [
          "D:\\ProgramFiles\\ghidra\\bridge_mcp_ghidra.py",
          "--ghidra-server",
          "http://127.0.0.1:8080/"
        ]
      },
      "x64dbg": {
        "command": "Python",
        "args": [
          "D:\\Program Files\\x64dbg\\release\\x64\\plugins\\x64dbg.py"
        ]
      }
  }
}

claude_desktop_config.json 파일에 x64dbg 내용을 추가한다.

{
  "selectedAuthType": "oauth-personal",
  "theme": "Default",
  "mcpServers": {
      "ghidra-mcp": {
        "command": "python",
        "args": [
          "D:\\ProgramFiles\\ghidra\\bridge_mcp_ghidra.py",
          "--ghidra-server",
          "http://127.0.0.1:8080/"
        ]
      },
      "x64dbg": {
        "command": "Python",
        "args": [
          "D:\\Program Files\\x64dbg\\release\\x64\\plugins\\x64dbg.py"
        ]
      }
  }
}

Gemini CLI 설정 파일 settings.json에 x64dbg MCP Server 내용을 위와 같이 추가한다.

질문 내용에 따라 Ghidra와 x64dbg를 구분하지 못하는 경우가 있다.

GhidraMCP와 클로드, 제미나이 CLI를 사용해 보자.

Claude에 가입하고 Claude Desktop을 설치한다.

GhidraMCP를 다운로드하고 압축을 푼다. 압축을 풀면 아래와 같은 2개의 파일이 나온다.

 - GhidraMCP-(version).zip

 - bridge_mcp_ghidra.py

이 중 bridge_mcp_ghidra.py 파일은 Ghidra 설치 폴더에 복사한다. (예: D:\ProgramFiles\ghidra)

{
  "mcpServers": {
    "ghidra": {
      "command": "python",
      "args": [
        "D:\\ProgramFiles\\ghidra\\bridge_mcp_ghidra.py",
        "--ghidra-server",
        "http://127.0.0.1:8080/"
      ]
    }
  }
}

위에서 Ghidra 설치 폴더로 복사해 둔 bridge_mcp_ghidra.py 의 경로 D:\ProgramFiles\ghidra 표현 시 역슬래시 2개를 사용하는것에 주의한다.

Gemini-CLI를 설치한다.

{
  "selectedAuthType": "oauth-personal",
  "theme": "Default",
  "mcpServers": {
    "ghidra-mcp": {
      "command": "python",
      "args": [
        "D:\\ProgramFiles\\ghidra\\bridge_mcp_ghidra.py",
        "--ghidra-server",
        "http://127.0.0.1:8080/"
      ]
    }
  }
}

settings.json을 위와 같이 작성한다.

실행 파일에서 원하는 리소스를 찾아보자.

ImagePrc.exe 를 x32dbg - xAnalyzer로 분석하면 위와 같이 FindResourceA 함수에서 두 번째 인수인 리소스 이름으로 65를 사용한 것을 확인할 수 있다. FindResourceA 함수의 두 번째 인수는 포인터가 아닐 경우 MAKEINTRESOURCE(ID) 이다.

PE를 분석하면 Resource ID가 65인 데이터를 찾을 수 있다.

간단한 비주얼 베이직 프로그램으로 VB Decompiler 사용법을 익혀보자.

예를 들어 STOP 버튼은 Caption으로 '■' 문자를 사용하고 (1680, 1560, 615, 495)에 위치하며 이벤트 처리 함수는 CMD_STOP이다.