1. 안티디버깅 (Anti-Debugging)

디버깅 도구나 분석 환경에서의 실행을 감지하여 악성 행위를 숨기거나 종료함

1.1 API 기반 감지

• Windows 시스템에서는 특정 API를 통해 현재 프로세스가 디버깅 중인지 여부를 감지할 수 있음

• IsDebuggerPresent(), CheckRemoteDebuggerPresent()

• NtQueryInformationProcess() (ProcessDebugPort, ProcessDebugFlags 등)

• 우회 방법: API 후킹, 리턴값 패치

1.2 예외 처리 기반 탐지

• INT 3 (BreakPoint), RaiseException(), SetUnhandledExceptionFilter() 활용

• 디버거가 예외를 처리하지 못하게 해서 감지

• 일부 프로그램은 고의로 예외를 발생시키고, 디버거가 개입했는지를 통해 디버깅 여부를 판단

• 우회 방법: 예외 핸들링 패치, try-catch 우회

1.3 시간 기반 감지

• 디버깅 시 코드 실행 속도가 느려지므로, 시간 차이를 측정하여 이를 감지

• 우회 방법: API 후킹, 고정된 시간값 반환

1.4 명령어 기반 감지

• ICEBP (int 1), UD2, 0xF1 같은 특수 명령어 삽입

• 일부 CPU 명령어는 디버깅 환경에서 다르게 작동하거나 예외를 발생시킴

• 우회 방법: 명령어 무력화, binary patch

1.5 프로세스/윈도우 감시

• 디버거 프로세스, 분석 툴, 윈도우 이름 등 환경 자체를 탐지하여 실행 여부 결정

• 예: FindWindow("OLLYDBG"))

• 우회 방법: 윈도우 이름 변경, 프로세스명 위장

1.6 커널 기반 감지

• 커널 드라이버 통해 디버거 탐지 (예: KdDebuggerEnabled)

• 우회 방법: 루트킷 레벨 패치, 하이퍼바이저 환경

2. 난독화 기법 (Obfuscation Techniques)

코드를 분석하기 어렵게 만들어 정적 분석을 방해하는 기법

2.1 제어 흐름 난독화

• goto, switch, opaque predicate 등으로 흐름을 꼬아서 분석 어렵게 함

• 예: 불필요한 루프, 조건문 삽입

2.2 문자열 난독화

• 중요한 문자열을 Base64, XOR, AES 등으로 암호화하고 런타임에 복호화

• 우회: 런타임 디코딩, 메모리 덤프

2.3 코드 인젝션 및 셀프 모디파잉 코드

• 실행 중 코드 덮어쓰기, 다른 프로세스에 코드 삽입

• 우회: 동적 분석, 메모리 감시

2.4 패킹 (Packing)

• UPX, Themida, VMProtect 등으로 바이너리를 압축/암호화

• 실행 시 복호화 후 원본 코드 실행

• 우회: 언패커 사용, 메모리 덤프

2.5 API 호출 흐림

• 함수 주소를 동적 로딩 (LoadLibrary, GetProcAddress) 또는 해시로 불러옴

• 우회: 호출 추적, 함수 해시 분석

3. 우회 기법 (Bypass Techniques)

4. 분석 툴 추천

5. 난독화 해제 실습

5.1 난독화된 코드 구조 해석

• 변수명: _0x240a96, _0x152b39, _0x4891e5 등 무의미한 이름

• 16진수 리터럴: 0x7b(123), 0x64(100), 0x3e8(1000) 등

• 일부 함수/로직을 즉시 실행 함수(IIFE)로 감춤

• 안티디버깅: debugger, 크롬 개발자도구 탐지, 단축키 차단 등

5.2 난독화 해제 기본 흐름

5.2.1 자동화 툴

• JavaScript Deobfuscator
  • 코드 붙여넣고 “Beautify” 또는 “Eval Unpacker” 등 적용
  • 변수명은 자동 해독이 안됨 (일부만 알아보기 좋게 만듦)

  

• Pretty Print (Ctrl+Shift+P)
  • 브라우저 F12 > Sources > 코드 우클릭 > "Pretty print" (중괄호 아이콘)

5.2.2 직접 분석

• 16진수 상수 → 10진수로 변환
  • 예: 0x7b → 123 (F12 콘솔, Python 등에서 변환)

• 난독화된 변수 추적
  • 한글로 변수명 바꿔가며 읽기

• 즉시 실행 함수(IIFE), setInterval 등 불필요 코드 주석 처리

• console.log/alert 등으로 실행 흐름 추적

5.3 난독화 해제 과정

5.3.1 주요 행위

• F12 개발자도구/디버깅 차단
  • keydown으로 F12(123), Ctrl+Shift+I/J/U 차단
  • preventDefault, crashDebugger()로 비정상 동작 유도
  • window 크기 변경 감지(outerHeight-innerHeight)로도 탐지

• console.clear() 반복 호출

• Object.defineProperty + getter로 console에서 이미지 출력시 crashDebugger() 실행

• iframe 생성 및 base64 HTML 코드 삽입

• download 함수: 클릭 방지, fetch 호출 및 동적 모듈 import

• 러시아어/영문 혼합 경고 메시지

5.3.2 난독화 해제 예시 과정

Step 1: Beautify

• de4js 사이트에서 "Beautify" 클릭

• 불필요한 줄바꿈이 정리되어 읽기 쉬움

Step 2: 변수/상수명 명확화

• 예시:
  • _0x240a96.keyCode === 0x7b → keyCode === 123 (F12)
  • 0x49(I), 0x4a(J), 0x55(U)

Step 3: 동작 우회

• 해당 이벤트 리스너(keydown) 주석 처리

  1 2// document.addEventListener("keydown", function (...) {...});

• crashDebugger 내부의 debugger; 문 주석 처리

• window 크기 감지(setInterval) 코드 비활성화

Step 4: 동적 코드 (eval/동적 import 등) 분석

• import("https://fpjscdn.net/v3/PvuUMpgUY4sC9jdyNi7A") → 외부 JS 모듈 동적 로드, 분석 시 실제 해당 JS 내용도 별도 확인 필요

• base64 HTML → CyberChef 등으로 디코드해서 원본 HTML 확인

5.4 결론