重複する命令でアセンブラープログラムを記述する方法（バイトコードを難読化する別の手法）

コンパイルされたバイトコードを分解から保護するために、オーバーラップする命令でアセンブラープログラムを作成する手法を紹介します。 この手法は、静的および動的バイトコード分析の両方に耐えることができます。 この考え方は、2つの異なるオフセットから逆アセンブルされたときに2つの異なる命令チェーン、つまりプログラムを実行する2つの異なる方法を生成するバイトストリームを選択することです。 これを行うには、マルチバイトのアセンブラー命令を使用し、これらの命令のバイトコードの可変部分に保護されたコードを隠します。 （命令のマスキングチェーンに従って）偽のトレイルに逆アセンブラーを配置することにより、逆アセンブラーを欺き、目から隠された命令のチェーンを保護するため。

効果的な「重複」を作成するための3つの前提条件

逆アセンブラーを欺くために、オーバーラップするコードは次の3つの条件を満たす必要があります。1）マスキングチェーンと隠しチェーンからの命令は、常に互いに交差する必要があります。 互いに相対的に整列してはいけません（最初と最後のバイトが一致してはいけません）。 そうしないと、隠されたコードの一部がマスキングチェーンに表示されます。 2）両方のチェーンは、もっともらしい組み立て説明書で構成する必要があります。 そうしないと、静的解析の段階でマスキングが既に検出されます（実行に適さないコードにつまずいたため、逆アセンブラーはコマンドポインターを修正し、マスキングを公開します）。 3）両方のチェーンのすべての命令は、もっともらしいだけでなく、正しく実行する必要があります（これを防ぐため、実行しようとするとプログラムがクラッシュしました）。 そうでない場合、動的解析中に、失敗が逆の注意を引き付け、マスキングが明らかになります。

「オーバーラップ」アセンブラー命令の手法の説明

重複するコードを作成するプロセスを可能な限り柔軟にするためには、可能な限り多くのバイトが任意の値を取ることができるマルチバイト命令を選択するだけです。 これらのマルチバイト命令は、マスキング命令チェーンを構成します。

上記の3つの条件を満たす重複コードを作成するという目標を追求するために、各マスキング命令をXX YY ZZという形式の一連のバイトと見なします。

ここで、XXは命令プレフィックスです（命令コードおよびその他の静的バイト-変更できません）。

YYは、任意に変更できるバイトです（原則として、これらのバイトには、命令に渡された直接数値が格納されます;またはメモリに格納されたオペランドのアドレス）。 より多くの隠された命令が適合するように、できるだけ多くのYYバイトが必要です。

ZZ-これらも任意に変更できるバイトであり、唯一の違いは、ZZバイトと次のバイトXX（ZZ XX）の組み合わせが、記事の冒頭で定式化された3つの条件を満たす有効な命令を形成することです。 理想的には、ZZは1バイトのみを占有する必要があります。そのため、YY（これは本質的に最も重要な部分です。ここに隠されたコードが配置されます）にはできるだけ多くのバイトが必要です。 最後の非表示命令はZZで終了する必要があります。2つの実行チェーンの収束点を作成します。

接着手順

ZZ XXの組み合わせ-接着命令を呼び出します。 接着命令は、最初に、隣接するマスキング命令にある隠された命令を結合するために、そして次に、記事の冒頭に記載された最初の必要条件を満たすために必要です：両方のチェーンの命令は常に互いに交差する必要があります（したがって、常に接着命令2つのマスキング命令の交点にあります）。

接着命令は、隠されたコマンドのチェーンで実行されるため、隠されたコードにできるだけ制限を課さないように選択する必要があります。 実行時に汎用レジスターとEFLAGSレジスターが変更され、隠しコードが対応するレジスターと条件付きコマンドを効果的に使用できないと仮定します（たとえば、接着命令の前に比較演算子があり、接着命令自体がEFLAGSレジスタの値を変更し、その後条件付き遷移を行う場合、これは、接着の指示が正しく機能しないことを示しています）。

オーバーラップ手法の上記の説明を次の図に示します。 実行が先頭バイト（XX）で始まる場合、マスクされた命令チェーンがアクティブになります。 また、バイトYYからは、隠された命令チェーンがアクティブになります。

「マスク命令」の役割に適したアセンブラー命令

一見すると最適な命令の中で最も長い命令は、MOVの10バイトバージョンで、レジスタと32ビットアドレスで指定されたオフセットが第1オペランドとして転送され、32ビット数が第2オペランドとして転送されます。 この命令には、任意に変更できるほとんどのバイトが含まれています（最大8個）。

ただし、この命令は妥当なように見えますが（理論的には正しく実行できます）、その第1オペランドは原則としてアクセスできないアドレスを指しているため、このようなMOVを実行しようとすると、プログラムは適切ではありません。崩壊します。 T.O. この10バイトのMOVは、3番目の必要条件を満たしていません。両方のチェーンのすべての命令を正しく実行する必要があります。

そのため、プログラムの崩壊のリスクをもたらさない応募者のみをマスキング指示の役割として選択します。 この条件により、オーバーラップするコードの作成に適した命令の範囲が大幅に狭まりますが、適切なものがまだあります。 以下は4つです。 これらの4つの命令にはそれぞれ5バイトがあり、プログラムがクラッシュするリスクなしに任意に変更できます。

• リー。 この命令は、第2オペランドの式で指定されたメモリアドレスを計算し、結果を第1オペランドに格納します。 メモリに実際にアクセスすることなく（したがって、プログラムクラッシュのリスクなしに）メモリを参照できるため、この命令の最後の5バイトは任意の値を取ることができます。

• CMOVcc。 この命令は、「cc」条件が満たされた場合にMOV操作を実行します。 この命令が3番目の要件を満たすためには、どのような状況でも値がFALSEになるように条件を選択する必要があります。 それ以外の場合、この命令はアクセスできないメモリアドレスにアクセスしようとする場合があります。 プログラムを停止します。

• SETcc CMOVccと同じ原理で動作します：条件 "cc"が満たされた場合、バイトを1に設定します。 この命令にはCMOVccと同じ問題があります。無効なアドレスにアクセスすると、プログラムがクラッシュします。 したがって、「cc」条件の選択には非常に慎重に取り組む必要があります。

• NOP。 NOPには、どのオペランドが示されているかに応じて、異なる長さ（2〜15バイト）を指定できます。 この場合、プログラムがクラッシュするリスクはありません（無効なメモリアドレスにアクセスするため）。 NOPが行う唯一のことは、命令カウンターを増やすことです（オペランドに対して操作を実行しません）。 したがって、オペランドが指定されているNOPバイトは、任意の値を取ることができます。 ここでは、9バイトのNOPが最適です。

参考のために、ここに他のいくつかのNOPオプションがあります。

「接着命令」の役割に適したアセンブラー命令

接着命令の役割に適した命令のリストは、特定のマスキング命令ごとに一意です。 以下は、9バイトのNOPを例として使用したリストです（次の図に示すアルゴリズムによって生成されます）。

このリストを作成する際、ZZが1バイトを使用するオプションのみを考慮しました（それ以外の場合、非表示のコード用のスペースはほとんどありません）。 9バイトのNOPに適したスティッキー命令のリストを次に示します。

この指示リストには、副作用のないものはありません。 それらはそれぞれ、EFLAGS、汎用レジスター、またはその両方を一度に変更します。 このリストは、命令の副作用に応じて4つのカテゴリに分けられます。

最初のカテゴリには、EFLAGSレジスタを変更するが、汎用レジスタを変更しない命令が含まれます。 このカテゴリの命令は、EFLAGSレジスタからの情報の評価に基づいて、条件付きジャンプまたは隠された命令のチェーンに命令がない場合に使用できます。 この場合（9バイトのNOPの場合）、このカテゴリに属する​​のはTESTとCMPの2つの命令のみです。

以下は、TESTを接着命令として使用する隠しコードの簡単な例です。 この例では、exitシステムコールを実行し、Linuxのすべてのバージョンに対して値1を返します。ニーズに合わせてTEST命令を正しく形成するには、最初のNOPの最後のバイトを0xA9に設定する必要があります。 このバイトは、次のNOPの最初の4バイト（66 0F 1F 84）と組み合わされると、TEST EAX命令0x841F0F66に変わります。 次の2つの図は、対応するアセンブラコードを示しています（マスキングチェーンと隠しチェーン用）。 制御が最初のNOPの4番目のバイトに転送されると、非表示のチェーンがアクティブになります。

2番目のカテゴリには、汎用レジスタまたは使用可能なメモリ（スタックなど）の値を変更するが、EFLAGSレジスタは変更しない命令が含まれます。 即値が第2オペランドとして指定されているPUSH命令または任意のMOVバリアントを実行する場合、EFLAGSレジスタは変更されません。 T.O. 2番目のカテゴリの接着命令は、比較命令（たとえば、TEST）とEFLAGSレジスタを評価する命令の間に配置することもできます。 ただし、このカテゴリの命令は、対応する接着命令に表示されるレジスタの使用を制限します。 たとえば、MOV EBP、0x841F0F66が接着命令として使用される場合、EBPレジスタを使用する可能性（隠されたコードの残りから）は大幅に制限されます。

3番目のカテゴリには、EFLAGSレジスタを変更する命令と、汎用レジスタ（またはメモリ）の変更が含まれます。 これらの命令には、最初の2つのカテゴリの命令に比べて明らかな利点はありません。 ただし、これらは記事の冒頭で定式化された3つの条件と矛盾しないため、使用することもできます。 4番目のカテゴリには命令が含まれ、その実装はプログラムがクラッシュしないという保証はありません-メモリへの不正アクセスのリスクがあります。 それらを使用することは非常に望ましくありません。 3番目の条件を満たしていません。

隠されたチェーンで使用できるアセンブラー命令

私たちの場合（9バイトのNOPがマスキング命令として使用される場合）、隠されたチェーンからの各命令の長さは4バイトを超えてはなりません（この制限は5バイトを占めるスティッキー命令には適用されません）。 ただし、4バイトより長いほとんどの命令はいくつかの短い命令に分解できるため、これはそれほど重大な制限ではありません。 以下は、非表示のチェーンに収まるには大きすぎる5バイトMOVの例です。

ただし、この5バイトのMOVは、長さが4バイトを超えない3つの命令に分解できます。

マスキングNOPをプログラム全体に分散させることによるマスキングの強化

多数の連続したNOPは、逆の観点から見ると非常に疑わしい。 これらの疑わしいNOPに注目することで、経験豊富なリバースエンジニアは、それらに隠されたコードの最下部に到達できます。 この露出を避けるために、マスクされたNOPをプログラム全体に散在させることができます。

この場合の非表示コードの正しい実行チェーンは、無条件ジャンプの2バイト命令によってサポートできます。 この場合、各NOPの最後の2バイトは2バイトのJMPを占有します。

このトリックにより、NOPの1つの長いシーケンスをいくつかの短いシーケンスに分割できます（または、それぞれ1つのNOPを使用することもできます）。 このような短いシーケンスの最後のNOPでは、ペイロードの3バイトのみを割り当てることができます（4番目のバイトは無条件ジャンプ命令によって取得されます）。 T.O. ここでは、有効な命令のサイズに追加の制限があります。 ただし、前述のように、長い命令は短い命令のチェーン上に配置できます。 以下は、同じ5バイトのMOVの例で、4バイトの制限に収まるように既にレイアウトされています。 ただし、このMOVを3バイトの制限に収まるように分解します。

同じ原則に従ってすべての長い命令を短い命令に分解すると、さらにマスクするために、プログラム全体に散在する単一のNOPのみを使用できます。 2バイトのJMP命令は、127バイトだけ前後にジャンプできます。つまり、2つの連続したNOP（非表示命令のチェーンに関して連続）は127バイト以内でなければなりません。

このトリックには、（強化されたマスキングに加えて）別の重要な利点があります：その助けを借りて、コンパイルされたバイナリファイルの既存のNOPに隠しコードを配置できます（つまり、コンパイル後にバイナリにペイロードを挿入します）。 ただし、これらの孤立したNOPが9バイトである必要はありません。 たとえば、バイナリの行に複数のシングルバイトNOPがある場合、プログラムの機能に違反することなく、それらをマルチバイトNOPに変換できます。 以下は、NOPを分散するための手法の例です（このコードは、上記の例と機能的に同等です）。

プログラム全体に散在するNOPに隠されているこのような隠されたコードは、検出するのがはるかに困難です。

注意深い読者は、最初のNOPに最後のバイトがないことに気付いているはずです。 ただし、心配する必要はありません。 これは、要求されていないバイトの前に無条件ジャンプが続くためです。 T.O. コントロールは彼に移されることはありません。 それで、すべてが整然としています。

重複するコードを作成するための手法を次に示します。 健康に使用してください。 precious索好きな目からあなたの貴重なコードを隠します。 ただし、9バイトのNOPではなく、他の命令を採用してください。 リバーサはおそらくこの記事も読むからです。