sstic 2009
play

SSTIC 2009 Optimiser pour r egner La compilation dans tous ses - PowerPoint PPT Presentation

Jun 19, 2023 •199 likes •460 views

D esobfuscation automatique de binaires Et autres idyles bucoliques. . . Alexandre Gazet Yoann Guillot Sogeti / ESEC R&D Sogeti / ESEC R&D alexandre.gazet(at)sogeti.com yoann.guillot(at)sogeti.com SSTIC 2009 Optimiser pour r

  1. D´ esobfuscation automatique de binaires Et autres idyles bucoliques. . . Alexandre Gazet Yoann Guillot Sogeti / ESEC R&D Sogeti / ESEC R&D alexandre.gazet(at)sogeti.com yoann.guillot(at)sogeti.com SSTIC 2009

  2. Optimiser pour r´ egner La compilation dans tous ses ´ etats Les limites de la virtualisation D´ ecompilation Conclusion(s) Plan La compilation dans tous ses ´ etats 1 Optimiser pour r´ egner Les limites de la virtualisation Conclusion(s) D´ ecompilation 2 A. Gazet, Y. Guillot D´ esobfuscation automatique de binaires 2/26

  3. Optimiser pour r´ egner La compilation dans tous ses ´ etats Les limites de la virtualisation D´ ecompilation Conclusion(s) Point de d´ epart N´ ecessit´ e d’automatisation Nous avons d´ ej` a : Processeur filtrant Parcours du graphe de contrˆ ole ( CFG ) Application de r` egles de r´ e´ ecriture Modification ` a la vol´ ee du CFG Analyse manuelle du code obfusqu´ e Recherche manuelle de motifs P´ enible Peu g´ en´ erique ´ Eventuellement inefficace : ex r´ esistance au polymorphisme A. Gazet, Y. Guillot D´ esobfuscation automatique de binaires 3/26

  4. Optimiser pour r´ egner La compilation dans tous ses ´ etats Les limites de la virtualisation D´ ecompilation Conclusion(s) Nouvelle approche Besoins Conservation de la s´ emantique R´ e´ ecriture du code dans une forme plus simple ´ Elimination du code mort etc. Les compilateurs le font d´ ej` a : l’optimisation Notre crit` ere d’optimisation : la concision du code A. Gazet, Y. Guillot D´ esobfuscation automatique de binaires 4/26

  5. Optimiser pour r´ egner La compilation dans tous ses ´ etats Les limites de la virtualisation D´ ecompilation Conclusion(s) Pr´ esentation de la cible La cible Une protection ` a base de virtualisation Massivement obfusqu´ ee (difficult´ e d’analyse + polymorphisme) Approche propos´ ee Greffe d’un module d’optimisation sur le module du parcours de graphes A. Gazet, Y. Guillot D´ esobfuscation automatique de binaires 5/26

  6. Optimiser pour r´ egner La compilation dans tous ses ´ etats Les limites de la virtualisation D´ ecompilation Conclusion(s) Constant propagation cfh mov al , 12h cfh mov al , 12h 67h mov cl , 46h 67h mov cl , 46h 69h xor cl , a l 69h xor cl , 12h Fig. : Propagation de 12h ` a travers al . A. Gazet, Y. Guillot D´ esobfuscation automatique de binaires 6/26

  7. Optimiser pour r´ egner La compilation dans tous ses ´ etats Les limites de la virtualisation D´ ecompilation Conclusion(s) Constant folding cfh mov al , 12h cfh mov al , 12h 67h mov cl , 46h 67h mov cl , 54h 69h xor cl , 12h Fig. : R´ eduction de cl . A. Gazet, Y. Guillot D´ esobfuscation automatique de binaires 7/26

  8. Optimiser pour r´ egner La compilation dans tous ses ´ etats Les limites de la virtualisation D´ ecompilation Conclusion(s) Operation folding 4 fh add al , − 7fh 4 fh add al , 11h 51h add al , bl 51h add al , bl 53h add al , − 70h Fig. : R´ eduction de l’op´ eration add . A. Gazet, Y. Guillot D´ esobfuscation automatique de binaires 8/26

  9. Optimiser pour r´ egner La compilation dans tous ses ´ etats Les limites de la virtualisation D´ ecompilation Conclusion(s) D´ emo Optimisation d’un handler A. Gazet, Y. Guillot D´ esobfuscation automatique de binaires 9/26

  10. Optimiser pour r´ egner La compilation dans tous ses ´ etats Les limites de la virtualisation D´ ecompilation Conclusion(s) Analyse s´ emantique des handlers M´ ethode code binding de l’objet disassembler Exemple de handler optimis´ e l od s d xor eax , ebx add eax , 859 f c f a e h sub ebx , eax push eax S´ emantique ( binding ) dword p t r [ esp ] := ( dword p t r [ e s i ]ˆ ebx )+859 f c f a e h eax := ( dword p t r [ e s i ]ˆ ebx )+859 f c f a e h ebx := ebx+ − (dword p t r [ e s i ]ˆ ebx ) − 859 f c f a e h e s i := e s i +4 esp := esp − 4 A. Gazet, Y. Guillot D´ esobfuscation automatique de binaires 10/26

  11. Optimiser pour r´ egner La compilation dans tous ses ´ etats Les limites de la virtualisation D´ ecompilation Conclusion(s) Au commencement eme projection de Futamura 2 ` ´ Etant donnn´ es deux langages L a et L b , il est possible de trouver un compilateur de L b vers L a , si on connaˆ ıt un interpr´ eteur de L b ´ ecrit en L a Comment ? A. Gazet, Y. Guillot D´ esobfuscation automatique de binaires 11/26

  12. Optimiser pour r´ egner La compilation dans tous ses ´ etats Les limites de la virtualisation D´ ecompilation Conclusion(s) Du statique au (presque) dynamique Binding contextualis´ e : dword p t r [ esp ] := 0 c0000001h eax := 0 c0000001h ebx := 4000 fd8ch e s i := 100167 c2h esp := esp − 4 Assembleur g´ en´ er´ e : push 0c0000001h Suivi du flot d’ex´ ecution du bytecode A. Gazet, Y. Guillot D´ esobfuscation automatique de binaires 12/26

  13. Optimiser pour r´ egner La compilation dans tous ses ´ etats Les limites de la virtualisation D´ ecompilation Conclusion(s) D´ emo Ex´ ecution symbolique et g´ en´ eration assembleur A. Gazet, Y. Guillot D´ esobfuscation automatique de binaires 13/26

  14. Optimiser pour r´ egner La compilation dans tous ses ´ etats Les limites de la virtualisation D´ ecompilation Conclusion(s) Interpr´ etation du r´ esultat L’int´ egralit´ e du bytecode a ´ et´ e compil´ ee en asm Ia32 natif Des r´ ef´ erences au contexte de l’interpr´ eteur Proche d’un automate ` a pile ⇒ module d’optimisation + abstraction A. Gazet, Y. Guillot D´ esobfuscation automatique de binaires 14/26

  15. Optimiser pour r´ egner La compilation dans tous ses ´ etats Les limites de la virtualisation D´ ecompilation Conclusion(s) Injection d’abstraction Extension du processeur Ia32 : : Reg . i t o s [ 3 2 ] . concat ( % w[ v i r t e a x ] ) Ia32 : : Reg . i t o s [ 1 6 ] . concat ( % w[ v i r t a x ] ) Ia32 : : Reg . i t o s [ 8 ] . concat ( % w[ v i r t a l ] ) Ia32 : : Reg . s t o i . c l e a r Ia32 : : Reg . i t o s . each { | sz , hh | hh . e a c h w i t h i n d e x { | r , i | Ia32 : : Reg . s t o i [ r ] = [ i , sz ] } } Ia32 : : Reg : : Sym . r e p l a c e Ia32 : : Reg . i t o s [ 3 2 ] . map { | s | s . to sym } A. Gazet, Y. Guillot D´ esobfuscation automatique de binaires 15/26

  16. Optimiser pour r´ egner La compilation dans tous ses ´ etats Les limites de la virtualisation D´ ecompilation Conclusion(s) D´ emo Chunk optimis´ e avec registres virtuels A. Gazet, Y. Guillot D´ esobfuscation automatique de binaires 16/26

  17. Optimiser pour r´ egner La compilation dans tous ses ´ etats Les limites de la virtualisation D´ ecompilation Conclusion(s) Phase finale Injections des registres virtuels Optimisation Expression du code en registres virtuels uniquement Registres virtuels remapp´ es sur les registres natifs Compilation et ´ edition des liens A. Gazet, Y. Guillot D´ esobfuscation automatique de binaires 17/26

  18. Optimiser pour r´ egner La compilation dans tous ses ´ etats Les limites de la virtualisation D´ ecompilation Conclusion(s) D´ emo Code d´ evirtualis´ e, mapp´ e dans le binaire original A. Gazet, Y. Guillot D´ esobfuscation automatique de binaires 18/26

  19. Optimiser pour r´ egner La compilation dans tous ses ´ etats Les limites de la virtualisation D´ ecompilation Conclusion(s) Conclusion(s) 1/2 M´ ethodes d’optimisation (r` egles de r´ e´ ecriture) Tr` es efficaces Implementation limit´ ee localit´ e des optimisations manque d’une repr´ esentation interm´ ediaire inadapt´ ee aux obfuscations du flot de contrˆ ole L’´ evaluation partielle ou sp´ ecialisation Pr´ e-calcul de tous les ´ el´ ements statiques : Mouvements de donn´ ees dans le code obfusqu´ e Application de l’interpr´ eteur au bytecode Approche g´ en´ erique Relativement coˆ uteux en temps de calcul A. Gazet, Y. Guillot D´ esobfuscation automatique de binaires 19/26

  20. Optimiser pour r´ egner La compilation dans tous ses ´ etats Les limites de la virtualisation D´ ecompilation Conclusion(s) Conclusion(s) 2/2 Int´ egration et r´ eutilisation du d´ esobfuscateur Le code actuel est ` a l’´ etat de prototype En cours d’int´ egration au framework sous forme d’un plugin propre Utilisable sur tout code x86 , avec des parties cross-platforme A. Gazet, Y. Guillot D´ esobfuscation automatique de binaires 20/26

  21. La compilation dans tous ses ´ etats D´ ecompilation Plan La compilation dans tous ses ´ etats 1 D´ ecompilation 2 A. Gazet, Y. Guillot D´ esobfuscation automatique de binaires 21/26

  22. La compilation dans tous ses ´ etats D´ ecompilation D´ ecompilation Interface arch-sp´ ecifique r´ eduite Meilleure expressivit´ e du code Repr´ esentation plus simple des boucles S´ emantique plus simple ` a manipuler A. Gazet, Y. Guillot D´ esobfuscation automatique de binaires 22/26

Download Presentation
Download Policy: The content available on the website is offered to you 'AS IS' for your personal information and use only. It cannot be commercialized, licensed, or distributed on other websites without prior consent from the author. To download a presentation, simply click this link. If you encounter any difficulties during the download process, it's possible that the publisher has removed the file from their server.

Recommend

Ladministration en silo Aurlien Bordes SSTIC 7 juin 2017 Dessine-moi ton SI

Ladministration en silo Aurlien Bordes SSTIC 7 juin 2017 Dessine-moi ton SI

Ladministration en silo Aurlien Bordes SSTIC 7 juin 2017 Dessine-moi ton SI Postes de travail Donnes Serveurs Produits de VIP scurit Utilisateurs Prestataires 07/06/2017 SSTIC 2017 Aurlien Bordes

572 views • 35 slides
Utilisation malveillante des suivis de connexions ric Leblond OISF SSTIC 2012 ric Leblond

Utilisation malveillante des suivis de connexions ric Leblond OISF SSTIC 2012 ric Leblond

Utilisation malveillante des suivis de connexions ric Leblond OISF SSTIC 2012 ric Leblond (OISF) Attaques des suivis de connexions SSTIC 2012 1 / 41 Eric Leblond (Regit) Spcialiste de la scurit des rseaux Utilisateur et

1.38k views • 115 slides
Conference douverture [titre venir] Travis Goodspeed 4 June 2014 SSTIC Rennes,

Conference douverture [titre venir] Travis Goodspeed 4 June 2014 SSTIC Rennes,

Conference douverture [titre venir] Travis Goodspeed 4 June 2014 SSTIC Rennes, Bretagne, France Prezegenn digeri [titl da zont] Travis Goodspeed 4 June 2014 SSTIC Roazhon, Breizh GOOD MORNING! GOOD MORNING!

558 views • 51 slides
Laudit des GPO Aurlien Bordes SSTIC 5 juin 2019 /49 Rappels et contexte Les GPO (

Laudit des GPO Aurlien Bordes SSTIC 5 juin 2019 /49 Rappels et contexte Les GPO (

Laudit des GPO Aurlien Bordes SSTIC 5 juin 2019 /49 Rappels et contexte Les GPO ( Group Policy Object ) : Sont apparues avec Windows 2000 et lActive Directory Permet dappliquer des paramtres de configuration Sont

830 views • 49 slides
DLL Shell Game and other misdirections SSTIC 2019 06/06/2019 Synacktiv Lucas GEORGES Table des

DLL Shell Game and other misdirections SSTIC 2019 06/06/2019 Synacktiv Lucas GEORGES Table des

DLL Shell Game and other misdirections SSTIC 2019 06/06/2019 Synacktiv Lucas GEORGES Table des matires Introduction 1 2 Tools DLL Redirections 3 Vulnerabilities 4 Conclusion 5 Whoami Twitter : @_lucas_georges_ Reverser @

458 views • 43 slides
A tale of Chakra bugs through the years Bruno Keith (@bkth_) SSTIC 2019 whoami 24, Independent

A tale of Chakra bugs through the years Bruno Keith (@bkth_) SSTIC 2019 whoami 24, Independent

A tale of Chakra bugs through the years Bruno Keith (@bkth_) SSTIC 2019 whoami 24, Independent Researcher, Navigating the jungle of French entrepreneurship CTF player since 2016 (ESPR), now retired due to ptmalloc2 PTSD Vuln research since

889 views • 85 slides
How to design a Baseband debugger SSTIC 2020 June the 3rd Synacktiv David Berard, Vincent

How to design a Baseband debugger SSTIC 2020 June the 3rd Synacktiv David Berard, Vincent

How to design a Baseband debugger SSTIC 2020 June the 3rd Synacktiv David Berard, Vincent Fargues Table of Contents 1 Introduction Shannon architecture 2 Debugger injection Conclusion 3 6 Debugger development 4 Examples of use 5

807 views • 79 slides
Innovations in symmetric cryptography Joan Daemen STMicroelectronics, Belgium SSTIC, Rennes, June

Innovations in symmetric cryptography Joan Daemen STMicroelectronics, Belgium SSTIC, Rennes, June

Innovations in symmetric cryptography Joan Daemen STMicroelectronics, Belgium SSTIC, Rennes, June 5, 2013 1 / 46 Outline 1 The origins 2 Early work 3 Rijndael 4 The sponge construction and Keccak 5 Conclusions 2 / 46 The origins

762 views • 59 slides
SSTIC 2012 Jean-Baptiste Bdrune Jean Sigwald Analyses forensiques de terminaux iOS Apple

SSTIC 2012 Jean-Baptiste Bdrune Jean Sigwald Analyses forensiques de terminaux iOS Apple

SSTIC 2012 Jean-Baptiste Bdrune Jean Sigwald Analyses forensiques de terminaux iOS Apple Travaux prcdents iPhone data protection in depth, HITB, mai 2011 Outils open-source Document Apple iOS Security , mai 2012

848 views • 46 slides
Visualisation et Analyse de Risque Dynamique pour la Cyber-Dfense symposium SSTIC 09/06/2010

Visualisation et Analyse de Risque Dynamique pour la Cyber-Dfense symposium SSTIC 09/06/2010

Visualisation et Analyse de Risque Dynamique pour la Cyber-Dfense symposium SSTIC 09/06/2010 Philippe Lagadec NATO C3 Agency CAT2 Cyber Defence and Assured Information Sharing Au menu Cyber-Dfense Visualisation CIAP -

306 views • 26 slides
Debian Security Team presentation Yves-Alexis Perez SSTIC 2018 Introduction Introduction

Debian Security Team presentation Yves-Alexis Perez SSTIC 2018 Introduction Introduction

Debian Security Team presentation Yves-Alexis Perez SSTIC 2018 Introduction Introduction Debian Security Team presentation SSTIC 2018 1 / 37 corsac debian.org Introduction Who am I? Yves-Alexis Perez (Corsac) ANSSI head of software

795 views • 40 slides
WEN ETA JB? A 2 million dollars problem Date: 05/06/2019 For: SSTIC Presenters: Eloi

WEN ETA JB? A 2 million dollars problem Date: 05/06/2019 For: SSTIC Presenters: Eloi

WEN ETA JB? A 2 million dollars problem Date: 05/06/2019 For: SSTIC Presenters: Eloi Benoist-Vanderbeken, Fabien Perigaud Who are we Eloi Benoist-Vanderbeken Fabien Perigaud @elvanderb @0xf4b Working for Synacktiv: Offensive

883 views • 40 slides
20 Years of PaX PaX Team SSTIC 2012.06.06 20 Years of PaX About Past Present Future About

20 Years of PaX PaX Team SSTIC 2012.06.06 20 Years of PaX About Past Present Future About

About Past Present Future 20 Years of PaX PaX Team SSTIC 2012.06.06 20 Years of PaX About Past Present Future About Introduction Design Concepts Past Userland Present Kernel Self-Protection Toolchain Support Future Userland

803 views • 40 slides
An Introduction to Physical Attacks Application to Secret Specifications Algorithms

An Introduction to Physical Attacks Application to Secret Specifications Algorithms

An Introduction to Physical Attacks Application to Secret Specifications Algorithms Christophe Clavier GEMALTO Security Labs SSTIC Rennes May 30, 2007 Christophe Clavier SSTIC 07 Rennes Physical Attacks Against

708 views • 23 slides
Rtro-ingnierie matrielle pour les reversers logiciels : cas dun DD externe chiffr

Rtro-ingnierie matrielle pour les reversers logiciels : cas dun DD externe chiffr

Rtro-ingnierie matrielle pour les reversers logiciels : cas dun DD externe chiffr Joffrey Czarny & Raphal Rigo / AGI / TX5IT 2015-06-03 / SSTIC Rtro-ingnierie matrielle : cas dun HDD chiffr 2015-06-03 / SSTIC 2 / 34

604 views • 56 slides
IpMorph : unification de la mystification de la prise d'empreinte Guillaume PRIGENT

IpMorph : unification de la mystification de la prise d'empreinte Guillaume PRIGENT

This document is licensed under a Creative Commons Attribution 3.0 License IpMorph : unification de la mystification de la prise d'empreinte Guillaume PRIGENT DIATEAM - Brest SSTIC - 5 juin 2009 1 IpMorph is an Open Source project

470 views • 17 slides
INF562 G eom etrie Algorithmique et Applications Algorithmes dapproximation g

INF562 G eom etrie Algorithmique et Applications Algorithmes dapproximation g

INF562 G eom etrie Algorithmique et Applications Algorithmes dapproximation g eom etrique Steve Oudot Pr eliminaire : un peu de th eorie de la complexit e Principe de cette th eorie : - on prend un probl` eme

976 views • 86 slides
Discourse markers and other signals: annotation and analysis Ludivine CRIBLE Bucharest, 15-16

Discourse markers and other signals: annotation and analysis Ludivine CRIBLE Bucharest, 15-16

Discourse markers and other signals: annotation and analysis Ludivine CRIBLE Bucharest, 15-16 Oct 2019 Overview 2 1. Domains and functions : operational definitions 2. EXMARaLDA suite: general functionalities 3. Hands-on demo : creating

749 views • 29 slides
Quantum Problems Chris Godsil University of Waterloo Plze, 4 October, 2016 Chris Godsil

Quantum Problems Chris Godsil University of Waterloo Plze, 4 October, 2016 Chris Godsil

Preliminaries Lines Colouring Quantum Walks Quantum Problems Chris Godsil University of Waterloo Plze, 4 October, 2016 Chris Godsil University of Waterloo Quantum Problems Preliminaries Lines Colouring Quantum Walks Outline

1.06k views • 67 slides
Is there an app for that? Eli Edwards, Emerging Technologies Research Librarian Santa Clara

Is there an app for that? Eli Edwards, Emerging Technologies Research Librarian Santa Clara

Is there an app for that? Eli Edwards, Emerging Technologies Research Librarian Santa Clara University School of Law A caveat: This presentation is more about questions than answers. Why me and why this topic? Im interested in how

717 views • 49 slides
Does guidance really matter in a place like Luxembourg ? - Jean-Jacques RUPPERT

Does guidance really matter in a place like Luxembourg ? - Jean-Jacques RUPPERT

Does guidance really matter in a place like Luxembourg ? - Jean-Jacques RUPPERT London, 22nd June 2005 Le savoir que lon ne complte pas chaque jour diminue tous les jours. The knowledge you do not add to each

732 views • 57 slides
Leftovers: Leftovers: MPLS, Multicast, MPLS, Multicast, Gateways and Firewalls, Gateways and

Leftovers: Leftovers: MPLS, Multicast, MPLS, Multicast, Gateways and Firewalls, Gateways and

COLE POLYTECHNIQUE FDRALE DE LAUSANNE Leftovers: Leftovers: MPLS, Multicast, MPLS, Multicast, Gateways and Firewalls, Gateways and Firewalls, VPNs VPNs Jean- -Yves Le Boudec Yves Le Boudec Jean Fall 2009 Fall 2009 1 Part 1:

708 views • 50 slides
5 Intgration continue 625-1.1 Industrialisation du logiciel Bachelor en informatique de

5 Intgration continue 625-1.1 Industrialisation du logiciel Bachelor en informatique de

5 Intgration continue 625-1.1 Industrialisation du logiciel Bachelor en informatique de gestion 3IGPT/4IGTP ulysse.rosselet@he-arc.ch Analyse Conception Production Dploiement Build tools, rcapitulation Jusquici

748 views • 21 slides
Techniques de preuve formelle en science : le dfi. Victor Magron 1 Bonjour, je suis Victor

Techniques de preuve formelle en science : le dfi. Victor Magron 1 Bonjour, je suis Victor

Techniques de preuve formelle en science : le dfi. Victor Magron 1 Bonjour, je suis Victor Magron. Jai fini ma thse de doctorat il y a un an et depuis, je suis chercheur Postdoc en mathmatiques et en informatique. Un de mes thmes de

275 views • 3 slides

More recommend