🧚🏿 🚜 🌟 JavaScriptとリバースエンジニアリングの共通点 🗃️ 🍀 😉

リバースエンジニアの立場で職務記述書を見ると、そこでのJavaScriptの知識に対する需要を満たすことはできません。そして、会ったら、エクスプロイトパックで一般的に使用されるさまざまな悪意のあるページの難読化解除のコンテキストでのみ。

また、JS（一部はWebアセンブラーと呼ばれることもあります）と、アセンブラーを先頭にした低レベルの世界との共存も可能ですか？

Webポータルが次の場合：

HEXエディター
アセンブラー
逆アセンブラー（ Cenigma 、 ODA 、 Radare2 Cloud ）
逆コンパイラ（ Retargetable Decompiler ）
エミュレーター
バーチャライザー
など

-またはJS上のfuzzers-browsers（ Surku 、 Nduja ）は誰も驚かず、バイナリコードのデバッグと分析のためのプログラム可能なツールは別の問題です。

この記事では、本当に興味深く有用なプロジェクトを紹介したいと思います（すぐに、リバースエンジニアリングタスクのためにJSを勉強することはできません）。

ノードキャップストーン

最近、 Capstone分解フレームワークが誕生しました。このプロジェクトはすぐにコミュニティの支持と大人気を得ました。これは理解できます：使いやすく、すぐに多数のアーキテクチャをサポートします：ARM、ARM64（ARMv8）、MIPS、PowerPC、SPARC、Windowsおよび* nix（Mac OSX、iOS、Android、Linux、* BSDおよびSolaris）。時間の経過とともに、フレームワークはさまざまな言語のバインディングを取得し、すでにPython、Ruby、C＃、Java、GO、C ++、OCaml、Vala、NodeJSがあります。はいNodeJS！

バインディング自体は次のとおりです。github.com / parasyte / node-capstone

これは、x86アーキテクチャの64ビットコードの逆アセンブリが発生するコードと、コンソールへのその後の出力の例です。

var capstone = require("capstone"); var code = new Buffer([ 0x55, 0x48, 0x8b, 0x05, 0xb8, 0x13, 0x00, 0x00 ]); var cs = new capstone.Cs(capstone.ARCH_X86, capstone.MODE_64); cs.detail = true; cs.disasm(code, 0x1000).forEach(function (insn) { console.log( "0x%s:\t%s\t%s\t%s", insn.address.toString(16), insn.mnemonic, insn.op_str, JSON.stringify(insn.detail) ); }); cs.close();

pe.js

github.com/mihailik/pe.js

ブラウザのエクスプロイトを作成するプロセスでは、多くの場合、アドレスリークがASLRをバイパスするために使用され、ASLRはROPチェーンの構築に使用されます。特定の関数を呼び出す必要があるが、コード内で発生しない場合は、別の操作が行われます。必要なDLLの始まりを計算して解析します。これを行うには、特にPE形式とインポートテーブルを解析できるJavaScriptコードがあると便利です。ここでそのような目的のためにpe.js。

まあ、または純粋なJavaScriptのexeファイルの感染者として。次に例を示します： alive-green.blogspot.ru/2014/03/js-javascript.html

サイクリプト

www.cycript.org

cycriptは、有名なJay Freeman（saurik）のツールです。実行時にMac OS XまたはiOSでアプリケーションを表示および変更できます。これらはすべて、構文Objective-C ++およびJavaScriptを使用したハイブリッド言語でコンソールを介して対話するときに発生します（スクリプトの起動も存在します）。

また、 Substrateとやり取りする機会もあります。これは、関数インターセプトを実装し、それをログに記録し、パラメーターまたは結果を変更するときに非常に便利です。多くの場合、プログラムの動作またはファジングを調査するときに使用されます。

iOSでcycriptを使用する例を次に示します。ここでは、アプリケーションに接続し、特定のクラスのオブジェクトの値を表示しています。

または、おそらく、最も一般的なcycript関数は、特定のクラスのすべての関数名とその実装のアドレスの出力です。

 function printMethods(className) { var count = new new Type("I"); var methods = class_copyMethodList(objc_getClass(className), count); var methodsArray = []; for(var i = 0; i < *count; i++) { var method = methods[i]; methodsArray.push({selector:method_getName(method), implementation:method_getImplementation(method)}); } free(methods); free(count); return methodsArray; }

このライブラリを使用すると、インターネット上で多くのマニュアルを検索したり、Habréで使用するためのリファレンスを見つけることもできます。

たとえば、このツールでは、 iNalyzerというフレームワークが構築されます。これは、iOSアプリケーションをブラックボックスでテストするときによく使用されます。

フリーダRE

www.frida.re

Fridaを使用すると、Windows、Linux、Mac、Android、iOSプラットフォームのアプリケーションにJavaScriptコードを挿入できます。アーキテクチャに関しては、当然x86 / x64 / ARM / AArch64です。このツールを使用すると、アプリケーション内のJSで独自のスクリプトを実行できます：関数のインターセプト、それらのラッパーの作成、入力/出力パラメーターの置換、または調査中のアプリケーションからの特定の関数の呼び出しなど、これはすべてではありません。したがって、リストされているすべてのOSで同じコードをほとんど変更せずに使用できます。 Androidについては、VM Dalvikでの作業がサポートされており、ネイティブ関数だけでなくJavaで記述された関数でも作業できます。 OS XおよびiOSのObjective-Cコードについても同じことが言えます。

FridaコアはCで記述されており、その作業のために、Google V8エンジンをターゲットプロセスに注入します。これにより、プロセスメモリ全体へのフルアクセスでJSコードが実行され、アプリケーションと対話するための双方向チャネルが編成されます。

Fridaにはsend、resv、post_messageなどのクールな機能があり、ターゲットアプリケーション内で既に実行されているJSコードと通信できるため、内部でコードの動作をインタラクティブに変更できます。たとえば、メモリ内の特定の行を検索してモバイルアプリケーションに挿入するJSコードを作成しました。その後、最初にログインが認証後にメモリに残っているかどうかを確認し、次にパスワードまたは他の行を確認して、JSスクリプトに送信します。まあ、もちろん、答えを得る、正しい行が見つかりましたかどうか。

ここでは、たとえば、組み込み関数enumerate_modules（）のコードのように見えます。この関数は、Pythonバインディングで、プロセスにロードされたライブラリをリストする役割を果たします。

または、関数をint funcプロトタイプ（int val、char * str）でログに記録するコードは次のとおりです。

 script = process.session.create_script(""" Intercrptor.attach(ptr("%s"), { onEnter: function(args){ send({info:'onEnter', val:args[0].toInt32(), str:Memory.readUtf8String(args[1])}); }, onLeave: function(retval){ send({info:'onLeave', retval: retval.toInt32()}); } }); """ % addr

このフレームワークは、2013年のHackito Ergo Sumカンファレンスで初めて発表され、現在では十分にサポートされ、更新されています。すでにiOS 8.1およびARM64アーキテクチャのサポートがあります。そして、これはおそらくこのレビューで最も興味深いプロジェクトです。

ピノキオ

github.com/pablosole/pet

このプロジェクトはフリーダよりも早く登場し、研究中のプログラムにV8エンジンを注入するというアイデアを実装しました。 EkoParty 2012カンファレンスで発表されましたが、フリーダとは異なり、彼はコミュニティから開発とサポートを受けたことはありませんでした。しかし、ソースコードが公開されており、誰でも好きなようにプロジェクトを開発し続けることができるので、言及する価値があると思います。

Pinocchioでは、すべてのPIN機能をJavaScriptで実装でき、V8エンジンに基づいています。 DBI（Dynamic Binary Instrumentation）とPINフレームワークについては、すでに書きました。 PIN自体は静止しておらず、開発中です。ピノキオにできることはここにあります。

新しいモジュールをロードし、プログラムで新しいスレッドを作成するときにイベントを処理するサンプルコード：

 function newimage(img) { log(img.name + “ – “ + img.loadOffset.hex()); } function newthread(threadId, ctx, flags) { log(“New Thread “ + current.thread.tid); log(“Thread Stack:” + ctx.get(REG_ESP).hex()); } events.attach(“loadimage”, newimage); events.attach(“startthread”, newthread);

このツールは、WindowsとIA32のみをサポートするようになりました。

楽器に関する詳細なプレゼンテーション（スペイン語）： www.ekoparty.org//archive/2012/Pin%20para%20Todos%20y%20Todas.pdf

IDA_JScript

github.com/dzzie/RE_Plugins/tree/master/IDA_JScript

逆転について話している場合は、IDA Proを使用しないでください。 C / C ++、 IDC 、Python（ IDAPython ）、Ruby（ idarub ）、 Perl 、Java（ idajava ）、Ocaml（ idaocaml ）など、さまざまな程度の利便性を備えたスクリプトを膨大な数の言語で作成できます。もちろん、一部のバインディングは最新のものとはほど遠いものです。

JavaScriptも例外ではありません： IDA_JScript 。

もちろん、私は多くの人々が積極的にそれを使用していることを疑いますが、存在の事実は雄弁です。あなたはそれを使用することができますが、それを維持/更新する必要もあります。

これは、コードが特定の範囲内のすべてのユーザー定義名を取得する方法です。

 s = 0x09A47A8 e = 0x09A5ACE if(s.length==0 || e.length == 0){ throw "invalid inputs" } s = parseInt(s); e = parseInt(e); ret = ''; com = 'comments:\r\n'; while(s < e) { n = ida.getname(s) c = ida.getcomment(s); if(n && n.length > 0){ ret += "MakeName(0X" + h(s) + ",\"" + n + "\");\r\n" } if(c && c.length > 0){ com += "0X" + h(s) + "\t= " + c + "\r\n"; } s = ida.nextea(s); if(s==-1) break; } ret = ret + "\r\n\r\n" + com t(ret) fso.setclipboard(ret); alert("Names and comments for range extracted");

ほぼ

github.com/d0c-s4vage/bnarly

ブラウザがクラッシュした原因、またはこのページがブラウザの内部構造にどのように影響するかを理解するには、JavaScriptの動作を確認する必要があります。今日まで、デバッガーのみがそれを処理できます。そして、デバッガーのプロセスはかなり退屈で面倒です。

ニックネームd0c_s4vageの友人は、JSを介してWinDbgで作業を行う、つまりJSからWinDbgコマンドを実行するというアイデアを持ちました。その結果、彼はbNarlyプロジェクトを作成しました。

bNarly（ブラウザNarly）は、ブラウザを調査および操作するためのツールです。 bNarlyは、WinDbgデバッガーとJavaScriptの間の橋渡しの一種です。

このツールは、jQueryライブラリを使用して記述されています。

このツールは実際にはどこで役立つのでしょうか？最初に頭に浮かぶのは、クラッシュの分析時、解放後の使用時の操作時、またはヒープスプレーの調整時です。

主な機能：

メモリダンプ
トレースフリー/割り当て
JavaScriptコードの実行

便利なことに、グラフィカルインターフェイスを担当するコードを分離するための十分に考え抜かれたシステムがあります。

仕事のアルゴリズム：

ブラウザを開く
WinDbgを開き、目的のタブにアタッチします
目的の関数のWinDbgにブレークポイントを配置します
bNarlyウィンドウで、必要なコードを作成して実行します
WinDbgはすべてを監視し、bNarlyはその情報を表示します

現在サポートしています：

IE 8、9、10、11
Firefox> = 20

スキーム

github.com/hexgolems/schem

最近、リバースエンジニアリングの世界では、研究対象のデータを視覚化し、プログラムの実行プロセス、一般的にはプログラムの研究における知覚の容易さに関連するすべてを表示する方向で活発な作業が行われています。

REで最も一般的に使用されるツールの1つはデバッガーです。そして、プログラムのプロセスを表示する方法は非常に重要です。現在、多くのデバッガーがあり、UIを含むすべての人が異なっています。常に構成できるとは限りませんが、誰かが苦しんでいるか、完全に欠席しています。

SchemDBGプロジェクトは、いくつかの基本的な操作をサポートするだけで任意のデバッガーを接続できるように、デバッガーとディスプレイを完全に分離しようとしています。

SchemDBGは、デバッグ中のプログラムのどこでも可能な限り多くの情報を表示/提供することを目指しています。現在、GDBとPINはバックエンドとしてサポートされています。これらはそれぞれ、Ubuntuをホストマシンとするマシンで実行される32ビットおよび64ビットのバイナリ用です。

デバッガーはRubyで記述されたラッパーを使用して制御され、WebフロントエンドはCoffeeScriptで記述されます。フロントエンドはChromiumの下で正常に動作します（他のブラウザのサポートは予定されていません）。同時に、多くのクライアントが1つのコントローラー（デバッガー）に参加でき、複数の画面で表示できます（異なる設定で可能です）。

このプロジェクトは、Google Summer of Code 2013の一環として開発されました。

テッセル

tessel.io

JSの知識を備えたハードウェアを備えたさまざまなゲームには、このボードが最適です。それは、JS愛好家のためのそのようなArduinoの結果として判明します））

この鉄片の詳細はすでにここで検討されています。

私にとって、REプロセスで取得したデータを視覚化するためにWebテクノロジーを使用することは、現在最も有望で有用なようです。そのため、内部開発では、WebSocketサーバーの機能を実行し、ブラウザーとの対話を支援するIDA Pro用のプラグインが作成されました。また、すでにD3.jsライブラリを使用するブラウザーで、静的情報と調査中のプログラムの実行中に取得された情報の両方が視覚化されます。当然、IDA Proとブラウザ間の対話はインタラクティブです。同様の相互作用は、George HotzのQIRAプロジェクトでも見られます。

WebテクノロジーとREタスクの間の距離は徐々に短くなっていると言っても過言ではありません...

JavaScriptとリバースエンジニアリングの共通点