หน้าแรก>ซอร์สโค้ด JSP>หมวดหมู่อื่นๆ
ดาวน์โหลด

การป้องกันเสือ

Tigress เป็นเครื่องเสมือนจริง/obfuscator สำหรับภาษา C ที่สนับสนุนการป้องกันใหม่ ๆ มากมายจากทั้งวิศวกรรมย้อนกลับและแบบไดนามิกและการโจมตีแบบ de-virtualization โดยเฉพาะอย่างยิ่งเสือตัวเมียป้องกันการลดทอนแบบคงที่โดยการสร้างชุดคำสั่งเสมือนจริงของความซับซ้อนและความหลากหลายโดยพลการโดยการผลิตล่ามที่มีการจัดส่งคำสั่งหลายประเภทและโดยการแทรกรหัสสำหรับการวิเคราะห์ต่อต้านนามแฝง Tigress ป้องกันการยกเลิกการใช้งานแบบไดนามิกโดยการรวมรหัสจริงเข้ากับฟังก์ชั่นปลอมโดยการแทรกการไหลโดยนัยและโดยการสร้างล่ามที่จะทำการตรวจสอบใหม่อย่างช้าๆ Tigress ใช้การบรรจุรหัสเวอร์ชันของตัวเองผ่านการใช้การสร้างรหัสรันไทม์ ในที่สุดการแปลงแบบไดนามิกของ Tigress ให้รูปแบบทั่วไปของการปรับเปลี่ยนรหัสรันไทม์อย่างต่อเนื่อง

Tigress Challenge

ทีม Tigress ได้ให้ความท้าทายบางอย่างที่เราสามารถค้นหาการปกป้องที่แตกต่างกัน

  • VM-0 : การจำลองเสมือนหนึ่งระดับการจัดส่งแบบสุ่ม
  • VM-1 : การจำลองเสมือนหนึ่งระดับ, superoperators, ตัวจัดการคำสั่งแยก
  • VM-2 : การจำลองเสมือนหนึ่งระดับ, ฟังก์ชั่นปลอม, การไหลโดยนัย
  • VM-3 : การจำลองเสมือนหนึ่งระดับตัวจัดการคำสั่งที่ทำให้งงงวยกับการเข้ารหัสเลขคณิตฟังก์ชั่นเสมือนจริงจะถูกแยกและชิ้นส่วนแยกรวมกัน
  • VM-4 : การจำลองเสมือนสองระดับคือการไหลโดยนัย
  • VM-5 : การจำลองเสมือนหนึ่งระดับ, ระดับหนึ่งของการดึง, การไหลโดยนัย
  • VM-6 : การไหลของสองระดับการไหลโดยนัย

รูปแบบท้าทาย

ความท้าทายทั้งหมดใช้เป็นจำนวนการป้อนข้อมูลและส่งคืนแฮช ตัวอย่าง:

 $ ./obfuscated_binaries/tigress-2- Challenge-2 1234
202180712448

$ ./obfuscated_binaries/tigress-2- Challenge-2 823748
50564355584

$ ./obfuscated_binaries/tigress-2- Challenge-2 2834723
50714072576

ฟังก์ชั่นการคำนวณแฮชจะทำให้งงงวย ประเภทของการโจมตีที่เป็นไปได้:

  • ในการโจมตีการกู้คืนแหล่งที่มางานคือการระบุอัลกอริทึมที่คำนวณความลับ
  • ในการโจมตีการกู้คืนข้อมูลงานคือการแยกรายการข้อมูลรันไทม์หรือคอมไพล์เวลาเฉพาะ
  • ในการโจมตีการกู้คืนข้อมูลเมตางานคือการระบุลำดับของการแปลงที่ส่งผลให้เกิดความลับพร้อมกับข้อโต้แย้งกับการเปลี่ยนแปลงเหล่านั้นเช่นวิธีการจัดส่งที่ใช้ในการจำลองเสมือน
  • ในการโจมตีที่ตั้งงานคือการระบุรหัสไบต์ของโปรแกรมที่ประกอบด้วยฟังก์ชั่นลับที่สับสน

การกำจัดการหลอมละลายอัตโนมัติ

เป้าหมายของเราคือ:

  • สารสกัดเป็นสัญลักษณ์อัลกอริทึมแฮช
  • ลดความซับซ้อนของการแสดงออกเชิงสัญลักษณ์เหล่านี้
  • จัดเตรียมไบนารีเวอร์ชันที่เรียบง่ายใหม่

และทั้งหมดนี้มีสคริปต์ทั่วไปเพียงหนึ่งเดียว :) ในการทำเช่นนั้นเราทำตามลำดับต่อไปนี้:

  • แยกวิเคราะห์ไบนารีที่ได้รับการป้องกันด้วย Lief
  • สัญลักษณ์เลียนแบบไบนารีที่ทำให้งงงวยกับไทรทัน
  • เป็นรูปธรรมทุกอย่างที่ไม่เกี่ยวข้องกับการป้อนข้อมูลของผู้ใช้
  • แปลงการแสดงออกของ Triton เป็นนิพจน์ของ Arybo
  • แปลงการแสดงออกของ Arybo เป็นตัวแทน LLVM-IR
  • ใช้การเพิ่มประสิทธิภาพ LLVM (O2)
  • สร้างรุ่นไบนารีที่ง่ายขึ้น

หากคุณต้องการข้อมูลเพิ่มเติมคุณสามารถชำระเงินสคริปต์ Solide-Vm.py ของเรา

กระบวนการ deobfuscation

แก้ปัญหา -vm.py

อย่างไรก็ตามเราได้ผลักดันผลลัพธ์ทั้งหมดของเราในที่เก็บนี้แล้ว แต่ถ้าคุณต้องการทำซ้ำด้วยตัวเองการวิเคราะห์นี้คุณจะต้องดำเนินการ solve-vm.py เช่นนี้:

 $ ./solve-vm.py ./obfuscated_binaries/_binary_

ตัวอย่าง:

 $ ./solve-vm.py ./tigress-challenges/tigress-0-challenge-0
[+] โหลด 0x400040 - 0x400238
[+] โหลด 0x400238 - 0x400254
[+] โหลด 0x400000 - 0x400f14
[+] โหลด 0x601e28 - 0x602550
[+] โหลด 0x601e50 - 0x601fe0
[+] โหลด 0x400254 - 0x400298
[+] โหลด 0x400dc4 - 0x400e08
[+] โหลด 0x000000 - 0x000000
[+] โหลด 0x601e28 - 0x602000
[+] hooking printf
[+] hooking __libc_start_main
[+] hooking strtoul
[+] เริ่มต้นการจำลอง
[+] __LIBC_START_MAIN HOOKED
[+] argv [0] = ./tigress-challenges/tigress-0-Challenge-0
[+] argv [1] = 1234
[+] strtoul hooked
[+] เป็นสัญลักษณ์ของการกลับมาของ strtoul
[+] printf hooked
3035321144166078008
[+] การแยกการแสดงออกของผู้ใช้จุดสิ้นสุด
[-] ไม่รองรับคำสั่ง: 0x400539: HLT
[+] คำสั่งดำเนินการ: 39816
[+] คำสั่งที่ไม่ซ้ำกันดำเนินการ: 458
[+] PC LEN: 0
[+] การจำลองเสร็จแล้ว
[+] การสร้าง symbolic_expressions/tigress-0-challenge-0.py
[+] แปลงการแสดงออกเชิงสัญลักษณ์เป็นโมดูล LLVM ...
[+] โมดูล LLVM เขียนใน llvm_expressions/tigress-0-challenge-0ll
[+] การคอมไพล์แบบ deobfuscated binary ...
[+] deobfuscated binary recompiled: deobfuscated_binaries/tigress-0-challenge-0.deobfuscated

จากนั้นการแสดงออกเชิงสัญลักษณ์สามารถพบได้ที่นี่การเป็นตัวแทน LLVM สามารถพบได้ที่นี่และสามารถทำการคอมไพล์ไบนารีได้ที่นี่

ใช้นักเทียบท่า:

 $ git clone [email protected]: jonathansalwan/tigress_protection.git
$ cd/path/to/tigress_protection
$ docker build -t image_tigress_protection 
$ docker run -v/path/to/tigress_protection:/root/tigress_protection -ti -name = tigress_protection -uLimit = 'stack = -1: -1' image_tigress_protection

ทดสอบภายในคอนเทนเนอร์ Docker

 # cd ~/tigress_protection
# ./SOLVE-VM.PY TIGRESS-Challenges/Tigress-0-Challenge-0

ทดสอบไบนารีที่เรียบง่ายของเรา

ในขณะที่เราง่ายขึ้นและคอมไพล์ใหม่ไบนารีใหม่เราต้องให้พฤติกรรมเดียวกันของไบนารีดั้งเดิม ดังนั้นเพื่อทดสอบรุ่นไบนารีของเราเราใช้สคริปต์นี้

 $ ./scripts/testing_equality.py ./tigress-challenges/tigress-0-challenge-0 ./deobfuscated_binaries/tigress-0-Challenge-0.deobfuscated
-
[+] ความสำเร็จด้วย 272966812638982633
[+] ความสำเร็จด้วย 2304147855662358786
[+] ความสำเร็จกับ 15697842028176298504
[+] ความสำเร็จกับ 15273138908025273913
[+] ความสำเร็จกับ 17329851347176088980
[+] ความสำเร็จด้วย 12160831137213706322
[+] ความสำเร็จด้วย 3489058267725840982
[+] ความสำเร็จด้วย 6474275930952607745
[+] ความสำเร็จด้วย 7363567981237584398
[+] ความสำเร็จด้วย 3685039181436704621
[+] ความสำเร็จ: 100.00

โดยพื้นฐานแล้วสคริปต์นี้จะเรียกใช้การทำให้งงงวยและไบนารี deobfuscated ที่มีอินพุตแบบสุ่มและตรวจสอบว่าพวกเขามีผลลัพธ์ที่เหมือนกันหรือไม่

เกี่ยวกับความท้าทายของ Tigress ผลลัพธ์คืออะไร?

ผลลัพธ์เสือ

เกี่ยวกับตารางอัตราส่วนหลังจากแก้ไขความท้าทายของ Tigress เราขอให้ Christian Collberg แหล่งที่มาของความท้าทายเพื่อเปรียบเทียบขนาดแหล่งที่มาดั้งเดิมและเวอร์ชัน devirtualized ของเรา โปรดทราบว่าตามคำร้องขอของคริสเตียนเราไม่สามารถจัดหาแหล่งที่มาของความท้าทายเสือถ้าคุณต้องการแหล่งข้อมูลเหล่านี้โปรดถามเขาโดยตรง :)

ทดสอบแนวทางของเรากับผู้อื่นไบนารี

นอกจากนี้เรายังรับอัลกอริทึมแฮช 20 ครั้ง (10 ที่รู้จักกันดี 10 จากความท้าทายเสือตัวเมีย) และเราปกป้องอัลกอริทึมเหล่านี้แต่ละอันโดยใช้การป้องกันเสือตัวเมีย 46 รายการ (ดูส่วนถัดไป) ในตอนท้ายเรามีบัลลังก์ทดสอบ 920 ไบนารีที่ได้รับการป้องกัน หนึ่งในไบนารีที่ได้รับการป้องกันเหล่านี้ได้รับการพัฒนาอย่างประสบความสำเร็จโดยใช้สคริปต์ solve-vm.py อัลกอริทึมแฮชเหล่านี้สามารถพบได้ในไดเรกทอรีตัวอย่างและเวอร์ชัน devirtualized ของพวกเขาลงในไดเรกทอรี deobfuscated_binaries ตารางต่อไปนี้เป็นบทสรุปของผลลัพธ์ของเราเกี่ยวกับตัวอย่าง 920 ของเรา

สรุปผลลัพธ์

เกี่ยวกับการปกป้องเสือตัวเราแตกอะไร?

  • การวิเคราะห์สาขาต่อต้าน (ตัวเลือก: goto2push, goto2call, branchfuns)
  • ความยาวรวมสูงสุด (ตัวเลือก: 0, 10, 20, 30)
  • ฟังก์ชั่นปลอม (ตัวเลือก: 0, 1, 2, 3)
  • ประเภทของตัวถูกดำเนินการ (ตัวเลือก: สแต็ก, ทะเบียน)
  • ทึบแสงถึง VPC (ตัวเลือก: จริง, เท็จ)
  • การทำซ้ำวนซ้ำ (ตัวเลือก: 0, 1, 2, 3)
  • อัตราส่วนผู้ให้บริการ Super (ตัวเลือก: 0, 0.2, 0.4, 0.6, 0.8, 1.0)
  • Opcodes แบบสุ่ม (ตัวเลือก: จริง, เท็จ)
  • opcodes ซ้ำ (ตัวเลือก: 0, 1, 2, 3)
  • dispatcher (ตัวเลือก: ไบนารี, โดยตรง, การโทร, การแก้ไข, ทางอ้อม, สวิตช์, ifnest, linear)
  • ENCODE BYTE ARRAY (ตัวเลือก: จริง, เท็จ)
  • ตัวถอดรหัสที่ทำให้งงงวย (ตัวเลือก: จริง, เท็จ)
  • VMS ซ้อนกัน (ตัวเลือก: 1, 2, 3)

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับตัวเลือกเหล่านี้ดูหน้า 1 และ 2

สิ่งพิมพ์

  • Dimva 2018 - กระดาษ
  • Dimva 2018 - เลื่อน
  • SSTIC 2017 - กระดาษฝรั่งเศส
  • SSTIC 2017 - สไลด์ภาษาอังกฤษ
  • SSTIC 2017 - วิดีโอภาษาฝรั่งเศส

ผู้เขียน

  • Sébastien Bardin (CEA-List)
  • Marie-Laure Potet (Verimag)
  • Jonathan Salwan (Quarkslab)

ขอบคุณ

  • Adrien Guinet สำหรับชิ้นส่วน Arybo และ LLVM (Quarkslab)
  • Romain Thomas สำหรับบางส่วน Triton (Quarkslab)
ขยาย
ข้อมูลเพิ่มเติม
แอปที่เกี่ยวข้อง
แนะนำสำหรับคุณ
ข้อมูลที่เกี่ยวข้อง ทั้งหมด