रिकॉन 2008 सम्मेलन में टिलर ब्यूचैम्प

टिलर ब्यूचैम्प द्वारा अतिथि संपादकीय

इस महीने की शुरुआत में मुझे प्रस्तुति देने का अवसर मिला था आरई: ट्रेस रीकॉन सम्मेलन में, एक रिवर्स इंजीनियरिंग सम्मेलन हर दूसरे वर्ष मॉन्ट्रियल, कनाडा में आयोजित किया जाता है। सम्मेलन में एक ही ट्रैक में तीन दिनों का प्रशिक्षण और तीन दिनों की वार्ता शामिल थी। विषयों में बहुरूपी मैलवेयर को उलटना, कोड अस्पष्टता और एंटी-डिबगिंग तकनीकों पर काबू पाना, विस्टा पर एएलपीसी कर्नेल इंटरफ़ेस के माध्यम से स्थानीय विशेषाधिकार वृद्धि और ओएस एक्स को हैक करना शामिल है। सम्मेलन का तकनीकी स्तर उत्कृष्ट था और रात्रिकालीन कार्यक्रमों से लेकर सम्मेलन नेटवर्क पर डाउनलोड करने योग्य प्रस्तुति वीडियो तक सब कुछ बहुत अच्छी तरह से व्यवस्थित था।

बहुत सारी दिलचस्प बातचीत हुई, लेकिन चूंकि मैं उन सभी को कवर नहीं कर सकता, इसलिए यहां कुछ मुख्य अंश दिए गए हैं:

गेरार्डो रिचर्डे ने रिवर्स इंजीनियरिंग कोड में सहायता के लिए दो छोटे उपकरण प्रस्तुत किए। इनमें से एक उपकरण एक कार्यप्रणाली से अधिक था और उन्होंने इसे पुनरावृत्तीय विसंकलन कहा। विचार यह है कि प्रोग्राम के कुछ हिस्सों को एक समय में एक टुकड़े में उच्च स्तरीय कोड में बदल दिया जाए। वह पहले असेंबली में किसी फ़ंक्शन के व्यवहार की जांच करेगा और फिर सी में फ़ंक्शन को फिर से लागू करेगा। इस सी को डीएलएल में संकलित करके और रनटाइम पर प्रक्रिया में पैच करके वह मूल कोड को अपने कार्यान्वयन और परीक्षण के साथ बदल सकता है ताकि यह सुनिश्चित हो सके कि इसका व्यवहार समान है। इस प्रक्रिया का पालन करके वह किसी एप्लिकेशन के महत्वपूर्ण हिस्सों को प्रगतिशील तरीके से उलट सकता है।

नियोहैप्सिस के क्रेग स्मिथ ने कोड ऑबफ्यूजेशन को लागू करने के लिए वर्चुअल मशीन का उपयोग करने पर प्रस्तुति दी. यहां VMWare वर्चुअल मशीन के बारे में न सोचें। इसके बजाय कस्टम निर्देश सेट और एक रनटाइम दुभाषिया के बारे में सोचें। उन्होंने इस तकनीक की मूल बातों को कवर किया जिसे लोकप्रिय बनाया गया हनीनेट SOTM32 चुनौती. विचार यह है कि एक कस्टम निर्देश सेट बनाया जाए और फिर इसका उपयोग उस तर्क को लागू करने के लिए किया जाए जिसे आप अस्पष्ट करना चाहते हैं। आप सिस्टम कॉल या महत्वपूर्ण गणनाओं को छिपाने के लिए इस दृष्टिकोण को लागू कर सकते हैं। लब्बोलुआब यह है कि डेवलपर्स की ओर से एक छोटा सा प्रयास रिवर्सर के लिए बहुत अधिक काम तैयार कर सकता है। अधिक विवरण और उसका नमूना कोड नियोहैप्सिस ब्लॉग पर पाया जा सकता है.

क्या नेटवेयर मर नहीं गया है? खैर, बहुत ज्यादा, लेकिन निकोलस पौवेस्ले इसमें पर्याप्त बार (दो बार) भाग गया कि उसने इसका पता लगाने का फैसला किया, और इसका पता लगाने से मेरा मतलब गंभीर कर्नेल शोषण फू से है। उनकी सबसे बड़ी चुनौतियों में से एक ऐसा पेलोड तैयार करना था जो नेटवेयर के कई संस्करणों में काम करने के लिए पर्याप्त सामान्य था। वह एक साधारण कनेक्ट बैक शेल नहीं कर सका, क्योंकि नेटवेयर में कोई सिस्टम लेवल उपयोगकर्ता नहीं है, जिसका अर्थ है कि कोई शेल नहीं है! एक सिस्टम कंसोल है, हालांकि इसके साथ इंटरफेस करने में बिटमैप्स और कैरेक्टर बफ़र्स के बीच कनवर्ट करना और कीस्ट्रोक्स इंजेक्ट करना शामिल है। यह दृष्टिकोण अभी भी सभी नेटवेयर संस्करणों पर काम नहीं करता है, इसलिए पॉवेस्ले ने एलडीएपी डेटाबेस के भीतर एक उपयोगकर्ता बनाने का एक तरीका खोजा जो नेटवेयर प्रशासनिक वेब इंटरफ़ेस एक्सेस के लिए उपयोग करता है। एलडीएपी उपयोगकर्ता बनाना केवल लाइब्रेरी कॉल के साथ हासिल किया जा सकता है, न कि कर्नेल कॉल के साथ, इसलिए वह कूद पड़े कर्नेल से उन पुस्तकालयों की दृश्यता प्राप्त करने और उनके एन्क्रिप्टेड को हल करने के लिए और अधिक हुप्स के माध्यम से प्रतीक. स्लाइडशेयर से उनकी स्लाइड यहां पाई जा सकती हैं.

कुल मिलाकर यह एक उत्कृष्ट सम्मेलन था और मैं रिवर्स इंजीनियरिंग में शामिल किसी भी व्यक्ति के लिए इसकी अनुशंसा करता हूँ। आपमें से जो लोग रुचि रखते हैं, उनके लिए अधिक जानकारी यहां पोस्ट की गई है रिकॉन वेबसाइट.

* टिलर ब्यूचैम्प एक सूचना सुरक्षा पेशेवर और प्रसिद्ध शोधकर्ता हैं। वह शायद आरई: ट्रेस फ्रेमवर्क, भेद्यता अनुसंधान के लिए शक्तिशाली डीटीआरएसी टूल के साथ बातचीत करने के लिए रूबी-आधारित फ्रेमवर्क बनाने के लिए सुरक्षा और मैक समुदायों में सबसे ज्यादा जाने जाते हैं। वह आरई: ट्रेस फ्रेमवर्क के साथी शोधकर्ता और सह-निर्माता के साथ ब्लॉग करते हैं पॉप/पॉप/आरईटी ब्लॉग और आगामी ब्लैक हैट लास वेगास 2008 सम्मेलन में भी देखा जा सकता है।