Гостевая редакционная статья Тиллера Бошана. Ранее в этом месяце у меня была возможность представить RE: Trace на конференции Recon, конференции по обратному проектированию, которая проводится раз в два года в Монреале, Канада. Конференция состояла из трёх дней обучения и трёх дней докладов в одном треке.
Ранее в этом месяце у меня была возможность представить RE: След на конференции Recon, конференции по обратному инжинирингу, которая проводится раз в два года в Монреале, Канада. Конференция состояла из трёх дней обучения и трёх дней докладов в одном треке. Темы включают обращение с полиморфным вредоносным ПО, преодоление обфускации кода и методы защиты от отладки, локальное повышение привилегий через интерфейс ядра ALPC в Vista и взлом OS X. Технический уровень конференции был превосходным, и все было очень хорошо организовано, от ночных мероприятий до загружаемых презентационных видеороликов в сети конференции.
Было очень много интересных докладов, но поскольку я не могу охватить их все, вот некоторые основные моменты:
Херардо Ришарте представил два небольших инструмента для обратного проектирования кода. Один из этих инструментов был скорее методологией, и он назвал его итеративной декомпиляцией. Идея состоит в том, чтобы преобразовать части программы в код высокого уровня по одному фрагменту за раз. Сначала он исследовал поведение функции на ассемблере, а затем повторно реализовал функцию на C. Скомпилировав этот C в DLL и внедрив его в процесс во время выполнения, он мог заменить исходный код своей собственной реализацией и протестировать, чтобы убедиться, что он ведет себя так же. Следуя этим процессам, он может постепенно перевернуть важные части приложения.
Крейг Смит из Neohapsis рассказал об использовании виртуальной машины для реализации обфускации кода.. Не думайте, что здесь есть виртуальные машины VMWare. Вместо этого подумайте о пользовательских наборах инструкций и интерпретаторе времени выполнения. Он изложил основы этой техники, популяризированной Задача Honeynet SOTM32. Идея состоит в том, чтобы создать собственный набор инструкций и затем использовать его для реализации логики, которую вы хотите запутать. Вы можете применить этот подход, чтобы скрыть системные вызовы или важные вычисления. Суть в том, что небольшое усилие со стороны разработчиков может создать гораздо больше работы для реверсера. Более подробную информацию и пример кода можно найти в блоге Neohapsis..
Разве Netware не мертва? Ну, почти, но Николя Пувесле столкнулся с этим достаточно раз (дважды), что решил изучить это, и под исследованием я подразумеваю серьезный эксплойт ядра fu. Одной из самых больших задач для него было создание полезной нагрузки, достаточно универсальной для работы со многими версиями Netware. Он не мог сделать простое обратное подключение оболочки, потому что в Netware нет пользователя системного уровня, а это значит, что нет оболочки! Существует системная консоль, однако взаимодействие с ней включает преобразование между растровыми изображениями и символьными буферами, а также ввод нажатий клавиш. Этот подход по-прежнему работал не на всех версиях Netware, поэтому Пувесле нашел способ создать пользователя в базе данных LDAP, которую Netware использует для административного доступа к веб-интерфейсу. Создание пользователей LDAP могло быть достигнуто только с помощью вызовов библиотеки, а не вызовов ядра, поэтому он прыгнул с помощью большего количества обручей, чтобы получить видимость этих библиотек из ядра и разрешить их зашифрованные символы. Его слайды с сайта SlideShare можно найти здесь..
В целом это была отличная конференция, и я рекомендую ее всем, кто занимается реверс-инжинирингом. Для тех, кому интересно, дополнительная информация размещена на сайте. Веб-сайт разведки.
* Тиллер Бошан — специалист по информационной безопасности и известный исследователь. Он, пожалуй, наиболее известен в сообществах безопасности и Mac благодаря созданию среды RE: Trace, основанной на Ruby среды для взаимодействия с мощным инструментом DTRace для исследования уязвимостей. Он ведет блог вместе с коллегой-исследователем и соавтором платформы RE: Trace на ПОП/ПОП/РЭТ блог, а также его можно будет увидеть на предстоящей конференции Black Hat в Лас-Вегасе 2008.