[한국어판 특별 부록 수록]
실전 예제와 함께 순서대로 경험하고 익히는 리버스 엔지니어링

소프트웨어 리버스 엔지니어링은 주로 소스코드가 없는 환경에서 타깃 프로그램을 분석할 때 사용된다. 리버스 엔지니어링 도구 기드라(Ghidra)는 디컴파일러 이외에도 다양한 아키텍처나 실행 파일 등을 제공하여 악성 프로그램 분석, 펌웨어 분석, 취약점 진단 등 다양한 분야에서 활용될 수 있다. 그러나 기드라를 제대로 활용하기 위해서는 풍부한 경험이 필요하다. 이 책은 실습을 중심으로 조작 방법이나 분석 방법을 효과적으로 배울 수 있도록 구성했다. 기드라를 사용해 다양한 연습용 프로그램을 분석하며 정체를 밝혀가는 묘미를 느껴보길 바란다.

㈜사이버디펜스(cyberdefense) 연구소에서 Cyber Threat Intelligence Analyst로 일하며 멀웨어 분석, 사고 대응, 위협 정보 수집·분석 업무를 맡고 있다. 기술 분야 서클 올세이프(Allsafe)의 관리자이기도 하다. JSAC, HITCON CMT, AVAR, CPRCon, Black Hat EUROPE Arsenal, CodeBlue BlueBox 등에서 연설했다.

CHAPTER 1 리버스 엔지니어링 입문

1.1 리버스 엔지니어링
1.2 프로그램 실행
1.3 호출 규약
1.4 C 언어와 어셈블리 언어
1.5 PE 포맷
1.6 x64 아키텍처

CHAPTER 2 기드라 입문

2.1 기드라란
2.2 설치
2.3 프로젝트
2.4 임포트
2.5 CodeBrowser

CHAPTER 3 리버스 엔지니어링 연습

3.1 downloader.exe
3.2 분석 접근법
3.3 함수 인수 분석
3.4 독자적인 구조체 수동 정의
3.5 downloader.exe 분석을 마치며

CHAPTER 4 Ghidra Script/Extension으로 기능 확장

4.1 기드라 기능 확장
4.2 Ghidra Script
4.3 Ghidra API
4.4 Headless Analyzer
4.5 Ghidra Extension

CHAPTER 5 Ghidra vs. Crackme - ELF 크랙미 분석

5.1 크랙미란
5.2 Level1： XOR을 통한 단순한 인코더
5.3 Level2： 커스텀 인코더
5.4 Level3： 버퍼 오버플로
5.5 Level4： Go로 구현된 바이너리 해석

CHAPTER 6 Ghidra vs. MOTHRA - 윈도우 백도어 분석

6.1 분석 준비
6.2 main 함수
6.3 C2 서버에서 명령어 검색
6.4 명령어 분기
6.5 MOTHRA RAT 분석을 마치며

CHAPTER 7 Ghidra vs. BlackBicorn - 윈도우 패커 분석

7.1 패커란
7.2 BlackBicorn 개요
7.3 BlackBicorn 분석(스테이지 0)
7.4 BlackBicorn 분석(스테이지 1)
7.5 BlackBicorn 분석(스테이지 2)
7.6 BlackBicorn 분석을 마치며

CHAPTER 8 Ghidra vs. Godzilla Loader - 윈도우 멀웨어 분석

8.1 멀웨어계의 고질라 Godzilla Loader
8.2 분석 대상 파일
8.3 패커 분석
8.4 문자열 난독화 복원
8.5 Godzilla Loader의 기능
8.6 Godzilla Loader 분석을 마치며

CHAPTER 9 Ghidra vs. SafeSpy - 안드로이드 앱 분석

9.1 안드로이드 기초
9.2 안드로이드 네이티브 라이브러리의 기초
9.3 안드로이드 앱 정적 분석
9.4 SafeSpy 앱 분석

APPENDIX A 기드라 응용

A.1 Binary Patching
A.2 Program Difference
A.3 Version Tracking
A.4 Ghidra Server
A.5 기드라 커스터마이즈
A.6 컬러 스키마 변경

APPENDIX B Ghidra Script 소개

B.1 내장된 Ghidra Script
B.2 서드 파티 Ghidra Script
B.3 저자들이 만든 오리지널 스크립트

APPENDIX C 실전 문제 풀이

C.1 Level1.exe
C.2 Level2.exe