Developing of native code obfuscator - Евгений Кулик
•
0 likes•304 views
Презентация с форума http://hackit-ukraine.com/ Евгений Кулик Lead SW engineer/Samsung R&D Institute Ukraine Developing of native code obfuscator О спикере: 10 лет опыта в области реверс-инженерии. Занимался исследование и распаковкой навесных защит, анализом техник обфускации исполняемого кода. Модерирую несколько известных ресурсов, посвящённых реверс-инженерии: reverse4you.org,ahteam.org.
Recommended
More Related Content
Similar to Developing of native code obfuscator - Евгений Кулик
Similar to Developing of native code obfuscator - Евгений Кулик (20)
More from HackIT Ukraine
More from HackIT Ukraine (20)
Developing of native code obfuscator - Евгений Кулик
- 1. Developing of native code obfuscator
- 2. 1. Сферы применения бинарных обфускаторов 2. Алгоритм работы обфускатора. 3. Переносимость на разные3. Переносимость на разные платформы. 4. Трудности деобфускации.
- 3. 1. Защита от реверс-инженерии. 2. Противодействие сигнатурным анализаторам.анализаторам. 3. Сокрытие полезной нагрузки эксплоитов.
- 4. Пример обфускации кода в протекторе Shiva
- 5. Core-packer от Hacking Team скрывает malware от сигнатурного анализа
- 6. 1. Обфускаторы исходного кода. 2. Обфускаторы промежуточного байт-кода.байт-кода. 3. Обфускаторы ассемблерных инструкций.
- 7. 1. Реализация поли- и метаморфизма вирусных инфекторов. 2. Навесные упаковщики. 3. Критически важные части алгоритмов регистрации приложений.
- 8. Схема применения обфускатора Исходный бинарный файл Дизассемблерный движок Ассемблерный движок Обфусцированный бинарный файл
- 9. Пермутация как основа обфускатора До пермутации После пермутации xor eax,eax mov eax,12345678 xor eax,eax nop add eax,12345678 nop
- 10. Шаблоны и полиморфизм inc eax inc %reg0 inc %reg0 inc %reg0inc eax inc %reg0 inc %reg0 dec %reg0
- 11. Подстановка оригинального значения операнда в шаблон inc %reg0 eax inc eaxinc %reg0 inc %reg0 dec %reg0 inc eax inc eax dec eax
- 12. Генерация промежуточного представления ассемблерных инструкций mov eax, ecx class Instruction{ public: std::string Prefix; std::string Opcode; Argument left; Argument right; }; Prefix Opcode Argument Argument class Argument{ public: std::string Constant; std::string Register; std::string Label; Expression expression; Type type; };
- 13. Expression – что это? class Expression{ … public: std::string Register1; std::string Terminal; [eax] [ecx + 5] [edx + ebx]std::string Terminal; std::string Constant; std::string Register2; … } [edx + ebx] [esi * 2] mov eax, [ecx + edx] Expression
- 14. Алгоритм работы обфускатора Исходная инструкция 1. Морфирующие 2. Мусорные База шаблонов 1 2 3 ГПСЧ Обфусцированные инструкции 2 4 5 Обфускатор Исходный код обфускатора на С++
- 15. 1. Метаморфные шаблоны. 2. Мусорные шаблоны.2. Мусорные шаблоны. 3. Возможность наложения шаблонов друг на друга - ключевая.
- 16. Чем полиморфизм отличается от метаморфизма? push eax mov eax, esp mov ecx, dword ptr[eax-4] add ecx,10 pop eax push ebp mov ebp, esp mov ecx, dword ptr[ebp -4] add ecx,10 pop eax retn 4 add ecx,10 pop ebp retn 4 push eax push 0 mov dword ptr [esp], eax
- 17. Метод «чёрного» ящика Обфусцированный код Разбиение на блоки Данные для анализа подаются на вход каждого блока.блока. Анализируются выходные данные. Сложность в правильном разбиении на блоки.
- 18. Наличие инструментов для реверс- инженерии под разные системы x86 x86-64 ARM Windows Linux
- 20. 1. Отличие встраиваемых систем от канонических. 2. Необходимость сборки большинства утилит для статического и динамическогоутилит для статического и динамического анализа. 3. Сложность отладки модулей ядра. 4. Отсутствие портирования под arm некоторых утилит.