ActiveX 디버깅(ollydbg)

Ollydbg을 통해 ActiveX파일을 디버깅하는 내용에 대해 포스팅하려 한다.

현업에서 취약점 분석업무를 수행하다 보면 새로운 프레임워크나 혹은 서드파티솔루션에 대해서 분석을 하게될 경우가 종종 발생한다.

예를 들면 파일 위변조를 통해 암호화 로직, 키 값(ActiveX 내)을 획득하여 복호화 전송하거나 키보드 보안 프로그램 우회를 통해 평문 비밀번호 노출 등 다양하게 활용할 수 있다.

이번 설명은 attach 기능을 통한 디버깅 방법이며, 
아규먼트를 통한 방법, dll이 로드될때마다 디버깅하는 방법 등 다양한 방법이 존재한다. 

1. Activex 레지스트리 등록

2. 등록된 Activex를 레지스트리에서 찾아 웹상에서 실행할 수 있도록 html 작성

3. 작성된 html을 실행

4. Ollydbg -> Attach 

5. iexplore.exe -> attach -> ollydbg. 멈춤 상태가 정상임. 

6. F9 로 run 할 경우 running으로 변경되면서 actvex가 실행되어 있음을 확인.

이 방법 외 다양한 ollydbg 옵션을 통해 디버깅하는 방법이 존재하며 재대로 명확히 익혀둘 시 악성코드 분석은 물론 프로그램 분석시 유용히 쓰임을 명심해야 한다.