DEFCON Conference 18.数学によるトロリームリバースエンジニアリング

数学のトローリングは私が話したいことです。 これらはファッショナブルなハッカーのトリックではなく、むしろ芸術的な表現であり、人々があなたをバカと見なすための面白いインテリジェントな技術です。 次に、レポートを画面に表示する準備ができているかどうかを確認します。 すべて順調に進んでいるようですので、自己紹介をします。







私の名前はFrank Tuで、Twitterではfrank ^ 2および@franksquaredと綴られています。Twitterには、「frank 2」という名前のスパマーもあるからです。 技術的にはスパムであり、クローンとして削除する権利があるため、ソーシャルエンジニアリングを適用してアカウントを削除しようとしました。 しかし、明らかに、あなたがそれらを正直に扱った場合、彼らは往復しません。スパマーアカウントを削除するという私のリクエストにもかかわらず、彼らはそれで何もしなかったので、私はこのクソTwitterを地獄に送りました。



多くの人が私のキャップで私を認識しています。 私は地域グループDefCon DC949およびDC310で働いています。 私もRapid7を使用していますが、ここでは口汚い言葉を使わずに話すことはできません。マネージャーは私に誓わせたくありません。 したがって、DefCon向けにこのプレゼンテーションを準備し、15分という期限に間に合いますが、これはかなり複雑なトピックです。 これは基本的に、リバースエンジニアリングと関連する面白いことに焦点を当てた標準的なプレゼンテーションです。



Twitterでこのトピックを議論すると、2つのキャンプが形成されました。 ある男は、「このクソ率直な^ 2が何を言っているのかわからないが、すごい！」 Redditの2人目の人は私のスライドを見て、トピックに関係のないものへのリンクが原因で動揺しました。そのような深刻なトピックが完全にカバーされていないことに怒ったので、プレゼンテーションの内容を増やしてゴミを減らしたいと思いました。







したがって、この引用に焦点を当てたいと思います。 Redditからの個人的なことは何もありません。彼がこの部屋にいる場合だけでなく、それが公正な批判だったからです。 十分な有用なコンテンツが含まれていない会話は空のチャットですから。



私の会話のトピックはハッカーの標準的なルーチンですが、実際には、スピーカーは通常、可能な場合でも面白い方法で情報を提示しようとせず、乾いた、非難された結論を好みます。 「ここにIP、ここにESP、ここにエクスプロイトを実行する方法、ここに私の「ゼロデイ」、今拍手！」、そしてみんなが手をたたきます。



拍手ありがとう、感謝します！ 私の資料には興味深い点がたくさんあるように思えるので、やや面白い方法で説明するに値します。



コンピュータサイエンスと完全に幼稚なユーモアに対する非常に表面的な態度が見られるので、ここで紹介する内容に感謝します。 深刻な会話を求めてここに来てすみません。



スライドには、厳密な科学的アプローチの割合とコンピューターセキュリティを提供する「薬」の割合を比較した前回のレポートの科学的分析があります。







より多くの「医薬品」があることがわかりますが、心配する必要はありません。現在、科学のシェアはわずかに増加しています。







それで、しばらく前に、私の最前線に座っていた友人のマーリンは、IRC Pythonスクリプトに基づいた驚くべきボットを書きました。



これは、関数型プログラミングを学ぶための非常に素晴らしい練習であり、混乱するのはとても楽しいことです。 関数を次々に追加するだけで、あらゆる種類の異なる関数の組み合わせを取得できます。これはすべて、虹色の波の形で画面に描画されます。一般に、これは最も愚かなことの1つです。







この原則をバイナリファイルに適用すると思いますか？ このアイデアがどこから来たのかはわかりませんが、すごい結果になりました！ ただし、いくつかの基本的な概念を明確にします。



数学の先生がこれらの機能を実際よりもはるかに複雑に示している可能性があります。







したがって、式f（x）は非常に簡単な意味で、通常の関数のように機能します。 Xがあり、入力があり、Xを7回取得します。これはあなたの値に等しくなります。 Pythonでは、関数（lambda x：x * 7）を作成できます。 Javaで作業したい場合は-申し訳ありませんが、これを決してしたく​​ないことを願っています-あなたは次のようなことをすることができます：

public static int multiplyBySevenAndReturn(Integer x) { return x * 7; }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

ご存知のように、数学関数はさらに複雑になる可能性がありますが、現時点でそれを知る必要があるのはそれだけです。



コードアセンブリを見ると、JMPおよびCALL命令が特定の値にバインドされておらず、オフセットで機能していることがわかります。 デバッガーを使用する場合、JMP00401000は、5または10バイトをジャンプする特定の命令よりも「数バイトをジャンプする」命令に近いことがわかります。 同じことがCALL関数にも当てはまりますが、スタックにすべてのものをプッシュする点が異なります。 例外は、アドレスをレジスタに「固定」する場合、つまり特定のアドレスにアクセスする場合です。 ここではすべてがまったく異なる方法で発生します。 アドレスをレジスタにフックし、CALL EAXなどの操作を実行すると、関数はEAXの特定の値にアクセスします。 同じことがCALL [EAX]またはJMP [EAX]にも当てはまります。EAXを間接参照し、そのアドレスに行きます。 デバッガを使用する場合、CALLがアクセスしている特定のアドレスを特定できない場合があります。 これは問題になる可能性があるため、このことに注意する必要があります。

JMP SHORTショートジャンプ機能を見てみましょう。 これは、x86アーキテクチャの特別な命令であり、4バイトのオフセットではなく1バイトのオフセットを使用できるため、使用されるメモリスペースが削減されます。 これは、後で個々の命令で発生するすべての操作で重要になります。 JMP SHORTの範囲は256バイトであることに注意してください。 ただし、CALL SHORTなどはありません。







次に、コンピューターサイエンスの魔術について考えてみましょう。 これらのスライドを作成する途中で、実際にはアセンブリをゼロスペースとして定義できることに気付きました。つまり、技術的には各命令の間にゼロスペースがあります。 個々の命令を見ると、各命令が次々に実行されていることがわかります。 技術的には、これは次の命令への無条件のジャンプとして解釈できます。 これにより、各命令がそれに応じて無条件ジャンプに関連付けられている限り、各アセンブリ命令の間にスペースができます。



ちなみに、このアセンブリの例を見ると、これらは非常に単純なものなので、ASCIIを使用してデコードすることをお勧めします。したがって、これは単なる一連の命令です。







各命令間にあるJMP 0は、通常は表示されない無条件のジャンプです。 それらは各命令の後に互いに続きます。 したがって、各命令に次の命令への無条件ジャンプが伴う場合に限り、各アセンブリ命令を任意のメモリ位置に配置できます。 アセンブリを転送し、以前と同じコードを使用する必要がある場合、各命令に無条件ジャンプをアタッチする必要があるためです。

さらに見てみましょう。 1次元配列は、技術的には2次元配列として解釈できます。わずかな数学、行、またはそのようなものが必要です。確かに言うことはできませんが、それほど難しくはありません。 これにより、メモリ内の位置を格子（x、y）の形で解釈する機会が与えられます。 命令間の空きスペースを相互に関連する可能性のある無条件ジャンプとして解釈することと組み合わせて、文字通り命令を描画できます。 これはすごい！



これを実際に実装するには、次の手順を実行する必要があります。

• 各命令を逆アセンブルして、コードが何であるかを調べます。
• 命令セットのサイズよりもはるかに大きいメモリ内の場所を割り当てます。 通常、コードサイズの10倍のメモリを予約します。
• 各命令に対してf（x）を定義します。
• 各命令をメモリ内の対応する（x、y）位置に設定します。
• 命令に無条件ジャンプを添付します。
• メモリを実行可能としてマークし、コードを実行します。

残念ながら、ここでは多くの疑問が生じます。 それは重力のようなもので、理論的にのみ機能しますが、実際にはまったく異なるものがあります。 実際には、x86はJMP命令であるCALL命令を地獄に送るため、自己参照コードを歪め、反復を使用する自己修正コードを生成します。







JMPの指示から始めましょう。 JMP命令はバイアスがかかっているため、任意の場所に配置されると、指すべき場所を指すことはなくなります。 SHORT JMPは同様の立場にいます。 あなたの関数（x、y）によって誤って配置され、あなたが頼りにしているものを示しません。 ただし、長いJMPとは異なり、短いJMPは、特に1次元配列を扱う場合に簡単に修正できます。 SHORT JMPは通常のJMPに簡単に変換できますが、新しいオフセットが何になったかを把握する必要があります。



レジスタベースのJMPの操作は依然として頭痛の種であり、厳しいオフセットが必要であり、実行時に計算できるため、どこに行くのかを見つける簡単な方法はありません。 各レジスターを自動的に検出するには、コンパイル理論から得られた多くの知識を使用する必要があります。 実行時に、関数ポインター、クラスポインターなどが存在する場合があります。 確かに、これをすべて行うために余分な作業を行いたくない場合は、実行できません。 f（x）関数は実際のコードで機能しますが、紙上ではそれほどエレガントではありません。 適切に行うには、多くの作業を行う必要があります。



クラスポインターなどを定義するには、CおよびC ++を使用する必要があります。 保存する前に、分解中にSHORT JMPを通常のJMPに変換します。バイアスに対処する必要があるため、非常に簡単です。



実際の変位を計算しようとすると、大きな頭痛の種です。 見つかったすべての命令には、コードの移動時に移動するオフセットがあり、再計算する必要があります。 これは、指示に従って、目標としてどこに移動する必要があることを意味します。 スライドで説明するのは難しいですが、これを実現する方法の例は、この会議の資料を含むCDにあります。



すべての命令を配置した後、古いオフセットを新しいオフセットに置き換えます。 変位に損傷を与えなかった場合、すべてが機能します。 準備ができたので、最高レベルでアイデアを実装する本当の機会があります。 これを行うには、次のものが必要です。

• 命令を分解します。
• メモリバッファを準備します。
• 利用可能な定数f（x）を初期化します。
• f（x）と特定のデータポインターを反復処理します。これに従って、クソ命令を追跡しながらコードが記述されます。
• 対応する作成済みのインデックスに指示を割り当てます。
• すべての条件付きジャンプを修正します。
• 新しいメモリパーティションを実行可能としてマークします。
• コードを実行します。

適切な場所に物を置くと、奇妙なものが得られます-すべてが台無しになり、指示が記憶の不明瞭な場所に飛び込んでしまい、これはすべて魅惑的に見えます。







これには実用的な意味がありますか、それともサーカスのパフォーマンスですか？ このような変換の適用値は次のとおりです。 アセンブリ命令とf（x）を計算するためのいくつかの手順を分離することで、ユーザーの操作なしでこれらのアセンブリ命令をバッファ内のどこにでも配置できます。 コード実行パスを混同するために必要なことは、関数とポインターを数学的にアセンブラーで記述し、それらをランダムに選択することだけです。



これにより、ポリモーフィックコーディング手法が大幅に簡素化されます。 コードを特定の方法で操作するたびにコードを記述する代わりに、コードの位置をランダムに決定する一連の関数を記述し、これらの関数をランダムなどとして選択できます。



アンチリバースは、アンチデバッグ技術ほどクールで新鮮ではありません。



アンチバージョンは、IDAを使用できないようにすることで得られる楽しさではなく、GNAA Last Measureの写真でリバーサーのコンピューターをどれだけ引き裂くかではありませんが、とても楽しいです。 反逆転とは、ただの嫌いな人ということです。なぜなら、あなたが最後の嫌いな人のように、異なるシステムの保護を破る男リバーサーを手に入れると、彼は怒り、この悪意のあるプログラムを地獄に送り出してしまいます。



その間、すべてのボットをロシアのビジネスネットワークに販売することができます。これは、ソフトウェアを使用すると、リバースエンジニアリングに関与するすべてのボットを「下げる」ためです。 Googleでアンチデバッグ技術を見つける方法は誰もが知っていますが、そこでは創造的なものから生じる問題の解決策を見つけることはできません。 最も創造的な反リボルバーは、リバーターがキーボードから指を外し、壁に拳サイズの穴を残すようにします。 リバーサーは怒りで沸騰します。コードがすべてを台無しにしたので、彼らはあなたが何をしたのか理解できません。



これは一種の神経ゲームであり、心理的なことです。もしあなたがこの問題で創造的で、本当に素晴らしい反逆を作成するなら、あなたはそれを誇りに思うことができます。 しかし、実際には、コードからコードを押しやろうとしているだけです。



それで私は何をするつもりですか？ 難読化機能を使用して難読化するつもりです。 次に、絡み合った関数の難読化の2番目のバージョンを使用して、難読化を再度適用します。 それでは、コードを引き出しましょう。 これは数学的トローリングの例であり、例として取り上げました。







そこで、開いたウィンドウで「式による混乱」コマンドを入力します。







次に、自分の仕事をするアセンブリ命令が表示されます。 ここではC ++を使用していることに注意してください。ただし、これを回避しようとする機会はわずかです。







ここでは、アクティブな関数CALL EAXが強調表示され、その後に適用されるジャンプ命令が続きます。バッファー内のすべての種類のさまざまなものが表示され、これらすべてが個々の命令で実行されます。











次に、プログラムを最後まで巻き戻します。結果が表示されます。 そのため、コードはまだ見栄えがよく、JMP命令の束がここでコンパイルされており、紛らわしいように見えますが、実際には紛らわしいです。







次のスライドは、スタックがどのように見えるかのグラフィカルな表現を示しています。







これが発生するたびに、ランダムな正弦波の式を生成します。これは任意の形状です。ここでは、さまざまな形状の束を確認できます。 コードは左上のどこかで始まると思いますが、正確には覚えていません。 それは彼がすべてをねじる方法です、あなたは正弦波を作ることができるだけでなく、スパイラルをねじることもできます。







ここでは、ソースコードに含めた2つの式のみが機能します。 これに基づいて、必要なだけクリエイティブなことができます。基本的には、開始バッファーから終了バッファーまでの単なるDIFFです。



問題は、このコード例では無条件ジャンプを使用していることです。これは実際には悪いことです。コードは以前とまったく同じである必要があるためです。つまり、無条件ジャンプは一方向にのみ続くためです。 したがって、エントリポイントから同じ方法で最後まで移動し、ジャンプ命令を取り除く必要があります。これでコードが完成しました。 どうする？ 無条件ジャンプを条件付きジャンプに変える必要があります。 条件付きジャンプは2方向に行われ、はるかに優れています。50％優れていると言えます。



ここに興味深いジレンマがあります：条件付きジャンプが必要な場合、無条件ジャンプを使用する必要があります... それで、私たちは何をしますか？ 不透明な述語は私たちを救います！ 知らない人にとっては、不透明な述語は本質的に、何に関係なく特定のバージョンを常に保持するブール文です。

それでは、先ほど述べたゼロ空間の拡張を見てみましょう。 命令のセットがあり、無条件のジャンプ、各命令間の遷移がある場合、必要な命令に直接影響しない一連のアセンブリ命令が単一の命令の前または後に続くことができます。

たとえば、混乱させようとしているもののメインアセンブリを変更しない非常に具体的な命令を書いた場合、つまり、各アセンブリ命令の状態を維持する限り、レジスタに関与しないようにします。 そして、これはさらに驚くべきことです。

プリアンブル、アセンブリデータ、およびポストスクリプトなど、混乱する可能性のある各アセンブリ命令を確認できます。 前文はアセンブリ命令に先行するものであり、追記はそれに続くものです。 プリアンブルは通常使用されるか、次の2つの目的に使用できます。

• 前のプリアンブルの不透明な述語の結果の修正。
• アンチデバッグコードフラグメント。

ただし、あまり多くのことを行うことはできないため、プリアンブルは基本的に制限されています。

Postscriptはおもしろいものです。 以下に使用できます。

• 不透明な述語とコードの次のセクションへの複雑なジャンプ。
• 全体的なコード実行のアンチデバッグと難読化。
• プログラム自体のさまざまなコードの暗号化と復号化。

現在、個々の命令を暗号化および復号化して、各命令が実行されると次のセクション、次のセクション、次のように復号化できるように取り組んでいます。 次のスライドは、この例を示しています。







プリアンブル行とデバッガー呼び出しは緑色で強調表示されます。 この呼び出しで行われるのは、デバッガーがあるかどうかを確認することだけです。その後、任意のコードセクションに移動します。



以下に、非常に単純な不透明な述語を示します。 ポストスクリプトでEaxの値を上位の指示に維持する場合、XOR演算子に従うと、JZは次のように考えます。「OK、明らかに左または右に行くことができます。0があるので、右に行く方が良いと思います。」 次に、POP EAXが実行され、EAXが戻り、その後、次の命令が処理されます。



これは明らかに、残留効果や異なる命令セットの生成の複雑さなど、基本戦略よりもはるかに大きな問題を作成します。 したがって、ある命令が別の命令にどのように影響するかを判断することは非常に困難です。 私はこの素晴らしいプログラムを終えていないので、あなたは私にスリッパを投げることができますが、私のブログで開発の進捗状況を追跡することができます。







私たちの式f（x）は、たとえばf（1）、f（2）、... f（n）のように繰り返し計算する必要がないことに注意してください。 それらがランダムに計算されることを妨げるものは何もありません。 賢い場合は、必要な命令の数を決定し、たとえばf（27）、f（54）、f（9）を割り当てることができます。これは、命令がランダムに配置される場所になります。 これを行うと、コードの記述方法に応じて、事前に停止できます。コードは命令をランダムにバインドします。



コードが予測可能な式に基づいて生成された場合、エントリポイントも予測可能であるため、コードの受信を完了する前に1レベルを追加して、エントリポイントをある程度混乱させることができます。 たとえば、1つのエントリポイントから300のアセンブリ命令を受け取ります。



それでは、欠点について話しましょう。







この方法では、主にGCCを使用するか、C ++を使用して、コードを慎重にコンパイルする必要があります。 C ++は実際にはいくつかの理由で非常にクールな言語ですが、すべてのコンパイラーが悪いことを知っています。 したがって、この問題の主なものは、有能な手書きのコンパイルです。なぜなら、自分のアセンブリを混乱させようとすると、Confickerワームを発明したギャングの承認が得られれば、失敗するからです。



大量のメモリが必要になります。 サイン波のある画像を思い出してください。 赤はコードであり、青はそれが機能するために必要なメモリであり、すべてが正常に機能するのに十分なはずです。



コードを完成させた後、おそらく巨大なデータセットを扱うことになります。 また、複数の機能を混同したい場合は大幅に増加します。



関数ポインターは予測できない動作をします-時には正しく、時には正しくありません。 それはあなたが何をしているのかに依存し、アセンブリ内で関数ポインタがどこでいつ起動するかを予測できないため、間違いなく問題が発生します。



難読化を生成し、プリアンブルとポストスクリプトのアセンブリを操作するほど、修正とデバッグが難しくなります。 したがって、このようなコードを書くことは、「OK、ここに1つまたは2つのJMPを慎重に挿入します」と「短時間ですべてを把握する方法」のバランスをとるようなものです。 そのため、指示を挿入して、数か月間何をしたかを把握するだけです。



今日は何か有益なことを学んだと思います。 私の意見では、私は本当に酔っていたので、今何が起こったのか本当に理解していません。 次のスライドは、Twitterの連絡先、ブログ、およびWebサイトを示しています。







それだけです、来てくれてありがとう！







ご滞在いただきありがとうございます。 私たちの記事が好きですか？ より興味深い資料を見たいですか？ 注文するか、友人に推薦することで、私たちをサポートします。私たちがあなたのために発明したエントリーレベルのサーバーのユニークなアナログのHabrユーザーのために30％の割引： VPS（KVM）E5-2650 v4（6コア）についての真実20ドルまたはサーバーを分割する方法？ （オプションはRAID1およびRAID10、最大24コア、最大40GB DDR4で利用可能です）。



VPS（KVM）E5-2650 v4（6コア）10GB DDR4 240GB SSD 1Gbpsまで1か月間無料で6か月の期間をお支払いの場合は、 こちらで注文できます 。



Dell R730xdは2倍安いですか？ オランダと米国で249ドルからIntel Dodeca-Core Xeon E5-2650v4 128GB DDR4 6x480GB SSD 1Gbps 100 TVを2台持っているだけです！ インフラストラクチャビルの構築方法について読んでください。 クラスRは、1米ドルで9,000ユーロのDell R730xd E5-2650 v4サーバーを使用していますか？