데이터 압축

압축 기법의 유형

• 비손실 압축 (Lossless Data Compression)
  • 압축된 파일을 100% 복원 가능할 경우
  • 데이터의 크기를 줄여 보관 및 이동에 용이하도록 하기 위함
  • 대표적인 파일 포맷
    • zip, rar
  • 대표적인 알고리즘
    • Run-Length, Lempel-Ziv, Huffman 등
• 손실 압축 (Loss Data Compression)
  • 압축된 파일을 원래대로 복원할 수 없을 경우
  • 파일에 의도적인 손상을 주어서라도 압축률을 높이기 위함
    • 멀티미디어 파일에서 주로 사용하는 기법
    • 사람이 알아차릴 수 없을 수준으로 손상을 가해 크기를 줄인다.
• 실행 압축
  • 실행 파일 내부에 압축해제 코드를 삽입하여, 실행되는 순간에 메모리에서 압축 해제 후 실행시키는 기법
    • decoding 로직 + 코드
  • 실행 압축 파일로 만들어주는 도구 → 패커
  • Anti-Reversing에 특화된 패커 → 프로텍터

패커의 유형

• Packer

  • 사용 목적

    1. 파일의 크기를 줄이기 위함

    2. PE 파일 내 코드와 리소스를 감추기 위함

       → 압축 해제된 메모리를 덤프 뜨면 볼 수 있음

  • 종류

    • 순수한 의도의 패커: UPX, ASPack 등
    • 불순한 의도의 패커: UPack, PESpin, NSAnti 등

• Protector

  : 실행 압축 이외에도 리버싱을 막기 위해 Anti-Debugging, Anti-Emulating, Code Obfuscating, Polymorphic Code, Garbage Coe, Debugger Detection 등의 기법을 함께 사용한다.

  • 사용 목적
    1. 크래킹 방지
    2. 코드 및 리소스 보호
       • 파일이 실행되었을 때에도 프로세스 메모리를 보호하여 덤프를 뜨지 못하게 할 수 있다.
  • 종류
    • 상용 프로텍터: ASProtect, Themida, SVKP 등
    • 공개용 프로텍터: UltraProtect, Morphine 등

UPX packer 실습

Packing

• notepad.exe → notepad_upx.exe 로 실행압축

  

• 실행 압축 결과 및 메커니즘

  • 총 3개의 섹션: UPX0, UPX1, .rsrc
  • UPX0의 raw size는 0이며, 메모리 로드 후 43000h 크기로 압축해제됨을 알 수 있다.
  • UPX1에 압축 해제 코드와 압축된 데이터가 있고, 파일 실행 시 압축 해제 결과를 UPX0에 저장

  

Unpacking

OEP vs. EP