IDA 의 한글파싱

각종 애플리케이션을 분석하거나 진단할 때 특정 함수를 추측하여 트레이스 하거나 문자열 검색을 통해 포인트를 찾아야 됩니다. 하지만 국내에서 개발된 제품을 이용하다 보면 대부분이 "한글"로 이루어져 있기 때문에 IDA와 유사한 Ghidra에서는 한글을 통한 문자열 검색이 되지 않습니다. 이럴 때는 IDA의 기능을 이용하면 보다 수월하게 탐색할 수 있습니다.

 

만약 IDA 7.0 이하의 버전을 사용 중이시라면 한글 파싱을 가능하게끔 컬처파일(.clt)을 추가해줘야 됩니다. 추가 방법은 아래의 링크를 통해 진행해주시면 됩니다.

http://egloos.zum.com/shadowxx/v/11310107

ida 한글 string (character) 제대로 읽어오게 만들기.

 

IDA 7.2 버전 이후부터는 korea.clt 파일이 기본적으로 추가된 상태로 배포되기 시작했기 때문에 별다른 작업은 하지 않았습니다. 7.2 버전 이상을 사용 중인데도 한글 문자열을 확인할 수 없다면 문자열을 하드코딩해두었거나, 리소스 파일에 저장되어 나타나지 않을 수도 있습니다.

 

IDA 한글 검색

분석하고자 하는 바이너리 파일을 Attach 하면 위와 같은 창이 나타납니다. 문자열이 리소스 파일에 저장될 수도 있기 때문에 "Load resources" 부분에 체크를 누르고 진행하도록 하겠습니다.

 

분석이 끝난 후 Shift + F12를 누르면 -> "String Window" 창이 나타납니다. Ctrl + F를 눌러 찾고자 하는 문자열을 입력해서 확인해주시면 끝입니다.

 

문자열을 더블클릭해주면 해당 코드 영역으로 포인팅 됩니다.

 

문자열을 더블클릭하여 포인팅을 잡아주면 "Hex-View" 탭도 함께 움직이게 됩니다. 테스트를 위해 HEX 값을 수정 및 저장(F2)하여 무결성 체크를 확인해보겠습니다.

 

수정이 모두 완료되면 마우스 포인터를 수정된 영역에 가져다 두시고 Edit -> Patch program -> Apply patches to input file 클릭해줍니다.

 

저장하고자 하는 바이너리 파일명을 지정해도 되고 기본 값 상태로 OK를 누르셔도 상관없습니다. 수정되기 전의 원본 파일은. bak 형식으로 치환되어 있을 겁니다.

 

수정된 바이너리를 통해 다시 구동시켜보면 성공적으로 변경이 되었습니다.

IDA Pro를 사용 중이시라면 디컴파일까지 되니 메인으로 사용하셔도 좋지만 그렇지 않을 경우 서로(IDA/Ghidra)의 기능을 활용하여 각각의 장점을 살린다면 보다 훌륭한 리버서가 되지 않을까 싶습니다.