d eprotection semi automatique de binaire
play

D eprotection semi-automatique de binaire avec Metasm : celui qui - PowerPoint PPT Presentation

Jun 07, 2023 •215 likes •743 views

Metasm Manipulation structurelle Challenge T2 2007 Conclusion D eprotection semi-automatique de binaire avec Metasm : celui qui fond dans la bouche et pas dans la main. Alexandre Gazet Yoann Guillot A. Gazet & Y. Guillot D

  1. Metasm Manipulation structurelle Challenge T2 2007 Conclusion D´ eprotection semi-automatique de binaire avec Metasm : celui qui fond dans la bouche et pas dans la main. Alexandre Gazet Yoann Guillot A. Gazet & Y. Guillot D´ eprotection semi-automatique de binaire 1/49

  2. Metasm Manipulation structurelle Challenge T2 2007 Conclusion Plan Metasm 1 Manipulation structurelle 2 Challenge T2 2007 3 Conclusion 4 A. Gazet & Y. Guillot D´ eprotection semi-automatique de binaire 2/49

  3. Metasm Les d´ esassembleurs classiques Manipulation structurelle Binding Challenge T2 2007 Backtracing Conclusion Plan Metasm 1 Les d´ esassembleurs classiques Binding Backtracing Manipulation structurelle 2 Challenge T2 2007 3 Conclusion 4 A. Gazet & Y. Guillot D´ eprotection semi-automatique de binaire 3/49

  4. Metasm Les d´ esassembleurs classiques Manipulation structurelle Binding Challenge T2 2007 Backtracing Conclusion Metasm A. Gazet & Y. Guillot D´ eprotection semi-automatique de binaire 4/49

  5. Metasm Les d´ esassembleurs classiques Manipulation structurelle Binding Challenge T2 2007 Backtracing Conclusion Metasm A. Gazet & Y. Guillot D´ eprotection semi-automatique de binaire 5/49

  6. Metasm Les d´ esassembleurs classiques Manipulation structurelle Binding Challenge T2 2007 Backtracing Conclusion D´ esassemblage La r´ ef´ erence : IDA Pro Excellent sur du code clair : binaire MS Inadapt´ e sur un binaire prot´ eg´ e Pas d’interpr´ etation du code Des hypoth` eses trop contraignantes Des hypoth` eses Les deux branches d’un saut conditionnel sont ex´ ecut´ ees Deux instructions ne se superposent pas Un appel retourne A. Gazet & Y. Guillot D´ eprotection semi-automatique de binaire 6/49

  7. Metasm Les d´ esassembleurs classiques Manipulation structurelle Binding Challenge T2 2007 Backtracing Conclusion D´ esassemblage La r´ ef´ erence : IDA Pro Excellent sur du code clair : binaire MS Inadapt´ e sur un binaire prot´ eg´ e Pas d’interpr´ etation du code Des hypoth` eses trop contraignantes Des hypoth` eses Les deux branches d’un saut conditionnel sont ex´ ecut´ ees Deux instructions ne se superposent pas Un appel retourne A. Gazet & Y. Guillot D´ eprotection semi-automatique de binaire 6/49

  8. Metasm Les d´ esassembleurs classiques Manipulation structurelle Binding Challenge T2 2007 Backtracing Conclusion Hypoth` ese : un appel retourne . t e x t :00403 E9F loc 403E9F : ; CODE XREF: .text : loc_40CDEF . t e x t :00403 E9F push ebp . t e x t :00403 EA0 push ecx . t e x t :00403 EA1 push ebp . t e x t :00403 EA2 c a l l sub 40BECD . t e x t :00403 EA7 outsb . t e x t :00403 EA8 cmp edx , esp . t e x t :00403 EAA push esp . t e x t :00403 EAB i n c e s i A. Gazet & Y. Guillot D´ eprotection semi-automatique de binaire 7/49

  9. Metasm Les d´ esassembleurs classiques Manipulation structurelle Binding Challenge T2 2007 Backtracing Conclusion Mise en ´ echec . t e x t :0040 BECD sub 40BECD proc near ; CODE XREF: .text :00403EA2 . t e x t :0040 BECD cmp eax , ebp . t e x t :0040 BECF add dword ptr [ esp +0] , 1 . t e x t :0040 BED4 te s t ebx , 1 E2h . t e x t :0040 BEDA retn 0 Ch . t e x t :0040 BEDA sub 40BECD endp A. Gazet & Y. Guillot D´ eprotection semi-automatique de binaire 8/49

  10. Metasm Les d´ esassembleurs classiques Manipulation structurelle Binding Challenge T2 2007 Backtracing Conclusion Binding D´ efinition Expression symbolique des effets d’une instruction; ` a chaque instruction est associ´ ee sa s´ emantique. Instruction ADD : a = d i . i n s t r u c t i o n . args . map r e s = Expression [ [ a [ 0 ] , :& , mask ] , :+ , [ a [ 1 ] , :& , mask ] ] binding [ : e f l a g z ] = Expression [ [ res , :& , mask ] , :==, 0] binding [ : e f l a g s ] = s i g n [ r e s ] binding [ : e f l a g c ] = Expression [ res , : > , mask ] binding [ : e f l a g o ] = Expression [ [ s i g n [ a [ 0 ] ] , :==, s i g n [ a [ 1 ] ] ] , : ’&&’ , [ s i g n [ a [ 0 ] ] , : ’!=’ , s i g n [ r e s ] ] ] binding [ i n s t r ] = { a [ 0 ] = > r e s } A. Gazet & Y. Guillot D´ eprotection semi-automatique de binaire 9/49

  11. Metasm Les d´ esassembleurs classiques Manipulation structurelle Binding Challenge T2 2007 Backtracing Conclusion Binding Instruction CALL : addrReturn = Expression [ Expression [ d i . address , :+ , d i . b i n l e n g th ] . reduce ] } binding = { : esp = > Expression [ : esp , : − , opsz ] , I n d i r e c t i o n [ : esp , opsz , d i . address ] = > addrReturn } En pratique : dword ptr [ esp ] = 0 x4010CE esp = esp − 4 Instruction RDTSC : binding = { : eax = > Expression : : Unknown , : edx = > Expression : : Unknown } A. Gazet & Y. Guillot D´ eprotection semi-automatique de binaire 10/49

  12. Metasm Les d´ esassembleurs classiques Manipulation structurelle Binding Challenge T2 2007 Backtracing Conclusion Binding Instruction CALL : addrReturn = Expression [ Expression [ d i . address , :+ , d i . b i n l e n g th ] . reduce ] } binding = { : esp = > Expression [ : esp , : − , opsz ] , I n d i r e c t i o n [ : esp , opsz , d i . address ] = > addrReturn } En pratique : dword ptr [ esp ] = 0 x4010CE esp = esp − 4 Instruction RDTSC : binding = { : eax = > Expression : : Unknown , : edx = > Expression : : Unknown } A. Gazet & Y. Guillot D´ eprotection semi-automatique de binaire 10/49

  13. Metasm Les d´ esassembleurs classiques Manipulation structurelle Binding Challenge T2 2007 Backtracing Conclusion Binding Instruction CALL : addrReturn = Expression [ Expression [ d i . address , :+ , d i . b i n l e n g th ] . reduce ] } binding = { : esp = > Expression [ : esp , : − , opsz ] , I n d i r e c t i o n [ : esp , opsz , d i . address ] = > addrReturn } En pratique : dword ptr [ esp ] = 0 x4010CE esp = esp − 4 Instruction RDTSC : binding = { : eax = > Expression : : Unknown , : edx = > Expression : : Unknown } A. Gazet & Y. Guillot D´ eprotection semi-automatique de binaire 10/49

  14. Metasm Les d´ esassembleurs classiques Manipulation structurelle Binding Challenge T2 2007 Backtracing Conclusion Backtracing, la th´ eorie D´ efinition ´ Emulation symbolique par remont´ ee du flot d’instructions. A. Gazet & Y. Guillot D´ eprotection semi-automatique de binaire 11/49

  15. Metasm Les d´ esassembleurs classiques Manipulation structurelle Binding Challenge T2 2007 Backtracing Conclusion Backtracing, la pratique Flot d’ex´ ecution : c a l l loc 40becdh ; @403ea2h e826800000 cmp eax , ebp ; @40becdh 39e8 add dword ptr [ esp +0] , 1 ; @40becfh 8344240001 te s t ebx , 1 e2h ; @40bed4h f7c3e2010000 r e t 0 ch ; @40bedah c20c00 Backtracing x dword ptr [esp] for 40bedah ret 0ch backtrace 40becfh add dword ptr [esp+0], 1 1 dword ptr [esp] => dword ptr [esp]+1 backtrace up 40becdh->403ea2h dword ptr [esp]+1 2 backtrace 403ea2h call loc 40becdh 3 dword ptr [esp]+1 ⇒ 403ea8h backtrace result : 403ea8h 4 A. Gazet & Y. Guillot D´ eprotection semi-automatique de binaire 12/49

  16. Metasm Les d´ esassembleurs classiques Manipulation structurelle Binding Challenge T2 2007 Backtracing Conclusion Metasm Listing produit : loc 403e9fh : push ebp ; @403e9fh 55 push ecx ; @403ea0h 51 push ebp ; @403ea1h 55 c a l l loc 40becdh ; @403ea2h e826800000 noreturn db 6 eh ; @403ea7h // Xrefs : 40 bedah loc 403ea8h : cmp edx , esp ; @403ea8h 39e2 push esp ; @403eaah 54 [ . . . ] − − − − − − − − − − − − − − − − − − − − − − − − // Xrefs : 403 ea2h loc 40becdh : cmp eax , ebp ; @40becdh 39e8 add dword ptr [ esp +0] , 1 ; @40becfh 8344240001 te s t ebx , 1 e2h ; @40bed4h f7c3e2010000 r e t 0 ch ; @40bedah c20c00 x: loc_403ea8h A. Gazet & Y. Guillot D´ eprotection semi-automatique de binaire 13/49

  17. Metasm Pr´ esentation Manipulation structurelle Complexification du graphe de contrˆ ole Challenge T2 2007 Insertion d’´ el´ ements neutres Conclusion D´ eprotection Plan Metasm 1 Manipulation structurelle 2 Pr´ esentation Complexification du graphe de contrˆ ole Insertion d’´ el´ ements neutres D´ eprotection Challenge T2 2007 3 Conclusion 4 A. Gazet & Y. Guillot D´ eprotection semi-automatique de binaire 14/49

  18. Metasm Pr´ esentation Manipulation structurelle Complexification du graphe de contrˆ ole Challenge T2 2007 Insertion d’´ el´ ements neutres Conclusion D´ eprotection Securitech 2006 - Challenge 10 Poeut.exe Binaire massivement obfusqu´ e IDA d´ epass´ e Metasm d´ esassemble parfaitement mais : Reordonnancement des blocs d’instructions ⇒ n´ ecessit´ e de d´ evelopper un front-end graphique yEd - Graph Editor Visualisation de graphes Utilise un fichier graphml Objets internes de Metasm les InstructionBlock A. Gazet & Y. Guillot D´ eprotection semi-automatique de binaire 15/49

  19. Metasm Pr´ esentation Manipulation structurelle Complexification du graphe de contrˆ ole Challenge T2 2007 Insertion d’´ el´ ements neutres Conclusion D´ eprotection Graphe sauvage A. Gazet & Y. Guillot D´ eprotection semi-automatique de binaire 16/49

Download Presentation
Download Policy: The content available on the website is offered to you 'AS IS' for your personal information and use only. It cannot be commercialized, licensed, or distributed on other websites without prior consent from the author. To download a presentation, simply click this link. If you encounter any difficulties during the download process, it's possible that the publisher has removed the file from their server.

Recommend

Il n'y a que 10 types de personnes dans le monde. Ceux qui comprennent le binaire et ceux qui ne

Il n'y a que 10 types de personnes dans le monde. Ceux qui comprennent le binaire et ceux qui ne

Penser en binaire Il n'y a que 10 types de personnes dans le monde. Ceux qui comprennent le binaire et ceux qui ne le comprennent pas! Pour reprsenter toutes les donnes, les ordinateurs utilisent des squences binaires - cest --dire

191 views • 6 slides
Approche dapprentissage automatique pour lannotation automatique des vnements Dr. Rim

Approche dapprentissage automatique pour lannotation automatique des vnements Dr. Rim

Approche dapprentissage automatique pour lannotation automatique des vnements Dr. Rim Faiz IHEC de Carthage Rim.Faiz@ihec.rnu.tn Colloque LaLICC 27 28 octobre 2006 Plan Introduction Quelques mthodes dannotation

862 views • 44 slides
Le Liban et lchange automatique dinformations fiscales Un tournant historique, un dfi

Le Liban et lchange automatique dinformations fiscales Un tournant historique, un dfi

ACADEMY & FINANCE HILTON BEIRUT METROPOLITAN PALACE March 09, 2017 Le Liban et lchange automatique dinformations fiscales Un tournant historique, un dfi pratique Practical I mplementation & Implication Karim Daher HBD-T Law

403 views • 28 slides
Programmation de contraintes ou programmation automatique ? Constraint propagation or automatic

Programmation de contraintes ou programmation automatique ? Constraint propagation or automatic

Programmation de contraintes ou programmation automatique ? Constraint propagation or automatic programming? Jean-Louis Laurire Annot par Jacques Pitrat Rsum : Aprs avoir effectu un bilan sur les problmes NP-complets et les

912 views • 37 slides
Monter un syst` eme de traduction automatique statistique bas e sur les s equences de mots:

Monter un syst` eme de traduction automatique statistique bas e sur les s equences de mots:

Experimenting with Phrase-Based Statistical Translation 1 Monter un syst` eme de traduction automatique statistique bas e sur les s equences de mots: Le cas de la campagne d evaluation IWSLT Philippe Langlais RALI/DIRO

681 views • 42 slides
Traitement automatique des langues : Fondements et applications Cours 11 : Neural networks (2)

Traitement automatique des langues : Fondements et applications Cours 11 : Neural networks (2)

Traitement automatique des langues : Fondements et applications Cours 11 : Neural networks (2) Tim Van de Cruys & Philippe Muller 20162017 Introduction Machine learning for NLP Standard approach: linear model trained over

503 views • 37 slides
Traitement automatique des langues : Fondements et applications Cours 10 : Neural networks (1)

Traitement automatique des langues : Fondements et applications Cours 10 : Neural networks (1)

Traitement automatique des langues : Fondements et applications Cours 10 : Neural networks (1) Tim Van de Cruys & Philippe Muller 20162017 Introduction Machine learning for NLP Standard approach: linear model trained over

1.09k views • 84 slides
RIStAL Centre de Recherche en Informatique, Signal et Automatique de Lille 1 Outline

RIStAL Centre de Recherche en Informatique, Signal et Automatique de Lille 1 Outline

Temporal Interfaces for Adaptive Real-Time Components Giuseppe Lipari, University of Lille CRTS Workshop @ RTSS, 5 december 2017 RIStAL Centre de Recherche en Informatique, Signal et Automatique de Lille 1 Outline Introduction 1 2

559 views • 44 slides
V erification automatique de multiplicateurs avec les *BMDs Pierre Senellart 10 d ecembre

V erification automatique de multiplicateurs avec les *BMDs Pierre Senellart 10 d ecembre

V erification automatique de multiplicateurs avec les *BMDs Pierre Senellart 10 d ecembre 2002 Introduction BDDs [1] very powerful tools for veifying arithmetic circuits. But exponential on multipliers. *BMDs [2] give a

524 views • 20 slides
Dtection automatique danomalies de performance Mohamed Said Mosli Bouksiaa, Franois Trahay,

Dtection automatique danomalies de performance Mohamed Said Mosli Bouksiaa, Franois Trahay,

Dtection automatique danomalies de performance Mohamed Said Mosli Bouksiaa, Franois Trahay, Gal Thomas Introduction Matriel complexe : NUMA, caches hirarchiques, GPU, etc Logiciels complexes : MPI+OpenMP, MPI+CUDA, etc

905 views • 58 slides
Compilations reproductibles Permettre le lien entre un binaire et sa source Lunar

Compilations reproductibles Permettre le lien entre un binaire et sa source Lunar

Compilations reproductibles Permettre le lien entre un binaire et sa source Lunar lunar@debian.org Lunar (Debian) Compilations reproductibles 1 / 101 Compilation reproductible? Le principe de compilation reproductible permet

1.51k views • 107 slides
Inversion in optimal control. Principles and examples Nicolas Petit Centre Automatique et

Inversion in optimal control. Principles and examples Nicolas Petit Centre Automatique et

Inversion in optimal control. Principles and examples Nicolas Petit Centre Automatique et Systmes cole des Mines de Paris Knut Graichen Franois Chaplais Outline 1. Receding horizon control (RHC - MPC) 2. Efficient trajectory

578 views • 47 slides
RIStAL Centre de Recherche en Informatique, Signal et Automatique de Lille 1 Parametric WCET

RIStAL Centre de Recherche en Informatique, Signal et Automatique de Lille 1 Parametric WCET

JNP : Symbolic WCET Computation Clment Ballabriga, Julien Forget, Giuseppe Lipari Real-Time System Symposium, Paris, December 2017 RIStAL Centre de Recherche en Informatique, Signal et Automatique de Lille 1 Parametric WCET Parametric

231 views • 4 slides
Semi-Crystalline Polymer Morphologies and their Hierarchical Morphologies 1 Semi-Crystalline

Semi-Crystalline Polymer Morphologies and their Hierarchical Morphologies 1 Semi-Crystalline

Semi-Crystalline Polymer Morphologies and their Hierarchical Morphologies 1 Semi-Crystalline Polymer Morphologies and their Hierarchical Morphologies Semi-Crystalline Helical Structure Chain Folding Semi-Crystalline Fibrillar Growth

1.46k views • 74 slides
RIStAL Centre de Recherche en Informatique, Signal et Automatique de Lille Outline 1 Plan of the

RIStAL Centre de Recherche en Informatique, Signal et Automatique de Lille Outline 1 Plan of the

Real-Time scheduling under uncertainty : challenges and solutions G. Lipari EDIS 2017, 17-18 December 2017 1 RIStAL Centre de Recherche en Informatique, Signal et Automatique de Lille Outline 1 Plan of the talk 2 Introduction to Real-Time

1.31k views • 75 slides
Semi-Secure Semi-Secure where a hash is a secure one-way function. A cookie is a bit of state

Semi-Secure Semi-Secure where a hash is a secure one-way function. A cookie is a bit of state

One-Slide Summary Users often authenticate themselves by providing passwords. We store and compare hashes of passwords, Semi-Secure Semi-Secure where a hash is a secure one-way function. A cookie is a bit of state associated with a webpage

103 views • 9 slides
Kinematics of Circumgalactic Gas: Quasars Probing the Inner CGM of z=0.2 Galaxies Crystal Martin

Kinematics of Circumgalactic Gas: Quasars Probing the Inner CGM of z=0.2 Galaxies Crystal Martin

Kinematics of Circumgalactic Gas: Quasars Probing the Inner CGM of z=0.2 Galaxies Crystal Martin & Stephanie Ho (UC Santa Barbara) Glenn Kacprzak (Swinburne) Chris Churchill (NMSU) What Matters Around Galaxies? Consider the Cool Gas

350 views • 23 slides
Ansible and OpenShift: Red Hats Celebrity Marriage Til Death Do We Part Joshua jag

Ansible and OpenShift: Red Hats Celebrity Marriage Til Death Do We Part Joshua jag

Ansible and OpenShift: Red Hats Celebrity Marriage Til Death Do We Part Joshua jag Ginsberg - jag@redhat.com @j00bar (those are zeroes) Chief Architect - Management Platform Engineering 2 (graphic by Leigh Ann Ivey) (graphic by

1.01k views • 32 slides
12. Chez Le Docteur 12.1 The Human Body 12.2 French Adverbs 12.1 The Human Body Mme Legendre is

12. Chez Le Docteur 12.1 The Human Body 12.2 French Adverbs 12.1 The Human Body Mme Legendre is

12. Chez Le Docteur 12.1 The Human Body 12.2 French Adverbs 12.1 The Human Body Mme Legendre is not feeling well, so she goes to the doctor. Heres their conversation: Mme: Docteur, je ne me sens pas bien, jai mal la tte et

805 views • 19 slides
Quenching Timescales or, why the green valley is a red herring Kevin Schawinski Institute for

Quenching Timescales or, why the green valley is a red herring Kevin Schawinski Institute for

Quenching Timescales or, why the green valley is a red herring Kevin Schawinski Institute for Astronomy ETH Zurich ETH black hole group @kevinschawinski (our coffee is radio-loud) the star formation main sequence log SFR main sequence log

982 views • 53 slides
Bergman kernels on punctured Riemann surfaces Hugues Auvray joint work with X. Ma and G.

Bergman kernels on punctured Riemann surfaces Hugues Auvray joint work with X. Ma and G.

Bergman kernels on punctured Riemann surfaces Hugues Auvray joint work with X. Ma and G. Marinescu December 16, 2019 2019 Taipei Conference on Complex Geometry Hugues Auvray Bergman kernels on punctured Riemann surfaces 1 / 17

313 views • 17 slides
}w !"#$%&'()+,-./012345<yA| Illustraons by Ji Franek. Results Comparison

}w !"#$%&'()+,-./012345<yA| Illustraons by Ji Franek. Results Comparison

Math Indexer and Searcher under the Hood: History and Development of a Winning Strategy Michal Rika, Petr Sojka, Marn Lka Masaryk University, Faculty of Informacs, Brno, Czech Republic mruzicka@mail.muni.cz, sojka@fi.muni.cz,

711 views • 16 slides
Sharing Code Between Web and Native Apps TJ VanToll (@tjvantoll) Jen Looper (@jenlooper) Chef

Sharing Code Between Web and Native Apps TJ VanToll (@tjvantoll) Jen Looper (@jenlooper) Chef

Sharing Code Between Web and Native Apps TJ VanToll (@tjvantoll) Jen Looper (@jenlooper) Chef TJ Chef Jen iOS Android Web Why Native? Via http://www.lukew.com/ff/entry.asp?1954 Why Web? Via http://www.lukew.com/ff/entry.asp?1954 The

248 views • 14 slides
Needs & solutions for visual rich publication to be indexable, accessible, searchable

Needs & solutions for visual rich publication to be indexable, accessible, searchable

Universit de La Rochelle Needs & solutions for visual rich publication to be indexable, accessible, searchable JeanChristophe BURIE L3i Laboratory , University of La Rochelle, France SAIL Sequentiel Art Image Laboratory Tokyo

464 views • 18 slides

More recommend