d eprotection semi automatique de binaire
play

D eprotection semi-automatique de binaire avec Metasm : celui qui - PowerPoint PPT Presentation

Jun 07, 2023 •215 likes •743 views

Metasm Manipulation structurelle Challenge T2 2007 Conclusion D eprotection semi-automatique de binaire avec Metasm : celui qui fond dans la bouche et pas dans la main. Alexandre Gazet Yoann Guillot A. Gazet & Y. Guillot D

  1. Metasm Manipulation structurelle Challenge T2 2007 Conclusion D´ eprotection semi-automatique de binaire avec Metasm : celui qui fond dans la bouche et pas dans la main. Alexandre Gazet Yoann Guillot A. Gazet & Y. Guillot D´ eprotection semi-automatique de binaire 1/49

  2. Metasm Manipulation structurelle Challenge T2 2007 Conclusion Plan Metasm 1 Manipulation structurelle 2 Challenge T2 2007 3 Conclusion 4 A. Gazet & Y. Guillot D´ eprotection semi-automatique de binaire 2/49

  3. Metasm Les d´ esassembleurs classiques Manipulation structurelle Binding Challenge T2 2007 Backtracing Conclusion Plan Metasm 1 Les d´ esassembleurs classiques Binding Backtracing Manipulation structurelle 2 Challenge T2 2007 3 Conclusion 4 A. Gazet & Y. Guillot D´ eprotection semi-automatique de binaire 3/49

  4. Metasm Les d´ esassembleurs classiques Manipulation structurelle Binding Challenge T2 2007 Backtracing Conclusion Metasm A. Gazet & Y. Guillot D´ eprotection semi-automatique de binaire 4/49

  5. Metasm Les d´ esassembleurs classiques Manipulation structurelle Binding Challenge T2 2007 Backtracing Conclusion Metasm A. Gazet & Y. Guillot D´ eprotection semi-automatique de binaire 5/49

  6. Metasm Les d´ esassembleurs classiques Manipulation structurelle Binding Challenge T2 2007 Backtracing Conclusion D´ esassemblage La r´ ef´ erence : IDA Pro Excellent sur du code clair : binaire MS Inadapt´ e sur un binaire prot´ eg´ e Pas d’interpr´ etation du code Des hypoth` eses trop contraignantes Des hypoth` eses Les deux branches d’un saut conditionnel sont ex´ ecut´ ees Deux instructions ne se superposent pas Un appel retourne A. Gazet & Y. Guillot D´ eprotection semi-automatique de binaire 6/49

  7. Metasm Les d´ esassembleurs classiques Manipulation structurelle Binding Challenge T2 2007 Backtracing Conclusion D´ esassemblage La r´ ef´ erence : IDA Pro Excellent sur du code clair : binaire MS Inadapt´ e sur un binaire prot´ eg´ e Pas d’interpr´ etation du code Des hypoth` eses trop contraignantes Des hypoth` eses Les deux branches d’un saut conditionnel sont ex´ ecut´ ees Deux instructions ne se superposent pas Un appel retourne A. Gazet & Y. Guillot D´ eprotection semi-automatique de binaire 6/49

  8. Metasm Les d´ esassembleurs classiques Manipulation structurelle Binding Challenge T2 2007 Backtracing Conclusion Hypoth` ese : un appel retourne . t e x t :00403 E9F loc 403E9F : ; CODE XREF: .text : loc_40CDEF . t e x t :00403 E9F push ebp . t e x t :00403 EA0 push ecx . t e x t :00403 EA1 push ebp . t e x t :00403 EA2 c a l l sub 40BECD . t e x t :00403 EA7 outsb . t e x t :00403 EA8 cmp edx , esp . t e x t :00403 EAA push esp . t e x t :00403 EAB i n c e s i A. Gazet & Y. Guillot D´ eprotection semi-automatique de binaire 7/49

  9. Metasm Les d´ esassembleurs classiques Manipulation structurelle Binding Challenge T2 2007 Backtracing Conclusion Mise en ´ echec . t e x t :0040 BECD sub 40BECD proc near ; CODE XREF: .text :00403EA2 . t e x t :0040 BECD cmp eax , ebp . t e x t :0040 BECF add dword ptr [ esp +0] , 1 . t e x t :0040 BED4 te s t ebx , 1 E2h . t e x t :0040 BEDA retn 0 Ch . t e x t :0040 BEDA sub 40BECD endp A. Gazet & Y. Guillot D´ eprotection semi-automatique de binaire 8/49

  10. Metasm Les d´ esassembleurs classiques Manipulation structurelle Binding Challenge T2 2007 Backtracing Conclusion Binding D´ efinition Expression symbolique des effets d’une instruction; ` a chaque instruction est associ´ ee sa s´ emantique. Instruction ADD : a = d i . i n s t r u c t i o n . args . map r e s = Expression [ [ a [ 0 ] , :& , mask ] , :+ , [ a [ 1 ] , :& , mask ] ] binding [ : e f l a g z ] = Expression [ [ res , :& , mask ] , :==, 0] binding [ : e f l a g s ] = s i g n [ r e s ] binding [ : e f l a g c ] = Expression [ res , : > , mask ] binding [ : e f l a g o ] = Expression [ [ s i g n [ a [ 0 ] ] , :==, s i g n [ a [ 1 ] ] ] , : ’&&’ , [ s i g n [ a [ 0 ] ] , : ’!=’ , s i g n [ r e s ] ] ] binding [ i n s t r ] = { a [ 0 ] = > r e s } A. Gazet & Y. Guillot D´ eprotection semi-automatique de binaire 9/49

  11. Metasm Les d´ esassembleurs classiques Manipulation structurelle Binding Challenge T2 2007 Backtracing Conclusion Binding Instruction CALL : addrReturn = Expression [ Expression [ d i . address , :+ , d i . b i n l e n g th ] . reduce ] } binding = { : esp = > Expression [ : esp , : − , opsz ] , I n d i r e c t i o n [ : esp , opsz , d i . address ] = > addrReturn } En pratique : dword ptr [ esp ] = 0 x4010CE esp = esp − 4 Instruction RDTSC : binding = { : eax = > Expression : : Unknown , : edx = > Expression : : Unknown } A. Gazet & Y. Guillot D´ eprotection semi-automatique de binaire 10/49

  12. Metasm Les d´ esassembleurs classiques Manipulation structurelle Binding Challenge T2 2007 Backtracing Conclusion Binding Instruction CALL : addrReturn = Expression [ Expression [ d i . address , :+ , d i . b i n l e n g th ] . reduce ] } binding = { : esp = > Expression [ : esp , : − , opsz ] , I n d i r e c t i o n [ : esp , opsz , d i . address ] = > addrReturn } En pratique : dword ptr [ esp ] = 0 x4010CE esp = esp − 4 Instruction RDTSC : binding = { : eax = > Expression : : Unknown , : edx = > Expression : : Unknown } A. Gazet & Y. Guillot D´ eprotection semi-automatique de binaire 10/49

  13. Metasm Les d´ esassembleurs classiques Manipulation structurelle Binding Challenge T2 2007 Backtracing Conclusion Binding Instruction CALL : addrReturn = Expression [ Expression [ d i . address , :+ , d i . b i n l e n g th ] . reduce ] } binding = { : esp = > Expression [ : esp , : − , opsz ] , I n d i r e c t i o n [ : esp , opsz , d i . address ] = > addrReturn } En pratique : dword ptr [ esp ] = 0 x4010CE esp = esp − 4 Instruction RDTSC : binding = { : eax = > Expression : : Unknown , : edx = > Expression : : Unknown } A. Gazet & Y. Guillot D´ eprotection semi-automatique de binaire 10/49

  14. Metasm Les d´ esassembleurs classiques Manipulation structurelle Binding Challenge T2 2007 Backtracing Conclusion Backtracing, la th´ eorie D´ efinition ´ Emulation symbolique par remont´ ee du flot d’instructions. A. Gazet & Y. Guillot D´ eprotection semi-automatique de binaire 11/49

  15. Metasm Les d´ esassembleurs classiques Manipulation structurelle Binding Challenge T2 2007 Backtracing Conclusion Backtracing, la pratique Flot d’ex´ ecution : c a l l loc 40becdh ; @403ea2h e826800000 cmp eax , ebp ; @40becdh 39e8 add dword ptr [ esp +0] , 1 ; @40becfh 8344240001 te s t ebx , 1 e2h ; @40bed4h f7c3e2010000 r e t 0 ch ; @40bedah c20c00 Backtracing x dword ptr [esp] for 40bedah ret 0ch backtrace 40becfh add dword ptr [esp+0], 1 1 dword ptr [esp] => dword ptr [esp]+1 backtrace up 40becdh->403ea2h dword ptr [esp]+1 2 backtrace 403ea2h call loc 40becdh 3 dword ptr [esp]+1 ⇒ 403ea8h backtrace result : 403ea8h 4 A. Gazet & Y. Guillot D´ eprotection semi-automatique de binaire 12/49

  16. Metasm Les d´ esassembleurs classiques Manipulation structurelle Binding Challenge T2 2007 Backtracing Conclusion Metasm Listing produit : loc 403e9fh : push ebp ; @403e9fh 55 push ecx ; @403ea0h 51 push ebp ; @403ea1h 55 c a l l loc 40becdh ; @403ea2h e826800000 noreturn db 6 eh ; @403ea7h // Xrefs : 40 bedah loc 403ea8h : cmp edx , esp ; @403ea8h 39e2 push esp ; @403eaah 54 [ . . . ] − − − − − − − − − − − − − − − − − − − − − − − − // Xrefs : 403 ea2h loc 40becdh : cmp eax , ebp ; @40becdh 39e8 add dword ptr [ esp +0] , 1 ; @40becfh 8344240001 te s t ebx , 1 e2h ; @40bed4h f7c3e2010000 r e t 0 ch ; @40bedah c20c00 x: loc_403ea8h A. Gazet & Y. Guillot D´ eprotection semi-automatique de binaire 13/49

  17. Metasm Pr´ esentation Manipulation structurelle Complexification du graphe de contrˆ ole Challenge T2 2007 Insertion d’´ el´ ements neutres Conclusion D´ eprotection Plan Metasm 1 Manipulation structurelle 2 Pr´ esentation Complexification du graphe de contrˆ ole Insertion d’´ el´ ements neutres D´ eprotection Challenge T2 2007 3 Conclusion 4 A. Gazet & Y. Guillot D´ eprotection semi-automatique de binaire 14/49

  18. Metasm Pr´ esentation Manipulation structurelle Complexification du graphe de contrˆ ole Challenge T2 2007 Insertion d’´ el´ ements neutres Conclusion D´ eprotection Securitech 2006 - Challenge 10 Poeut.exe Binaire massivement obfusqu´ e IDA d´ epass´ e Metasm d´ esassemble parfaitement mais : Reordonnancement des blocs d’instructions ⇒ n´ ecessit´ e de d´ evelopper un front-end graphique yEd - Graph Editor Visualisation de graphes Utilise un fichier graphml Objets internes de Metasm les InstructionBlock A. Gazet & Y. Guillot D´ eprotection semi-automatique de binaire 15/49

  19. Metasm Pr´ esentation Manipulation structurelle Complexification du graphe de contrˆ ole Challenge T2 2007 Insertion d’´ el´ ements neutres Conclusion D´ eprotection Graphe sauvage A. Gazet & Y. Guillot D´ eprotection semi-automatique de binaire 16/49

Recommend

Il n'y a que 10 types de personnes dans le monde. Ceux qui comprennent le binaire et ceux qui ne

Il n'y a que 10 types de personnes dans le monde. Ceux qui comprennent le binaire et ceux qui ne

Penser en binaire Il n'y a que 10 types de personnes dans le monde. Ceux qui comprennent le binaire et ceux qui ne le comprennent pas! Pour reprsenter toutes les donnes, les ordinateurs utilisent des squences binaires - cest --dire

191 views • 6 slides
Approche dapprentissage automatique pour lannotation automatique des vnements Dr. Rim

Approche dapprentissage automatique pour lannotation automatique des vnements Dr. Rim

Approche dapprentissage automatique pour lannotation automatique des vnements Dr. Rim Faiz IHEC de Carthage Rim.Faiz@ihec.rnu.tn Colloque LaLICC 27 28 octobre 2006 Plan Introduction Quelques mthodes dannotation

862 views • 44 slides
Le Liban et lchange automatique dinformations fiscales Un tournant historique, un dfi

Le Liban et lchange automatique dinformations fiscales Un tournant historique, un dfi

ACADEMY & FINANCE HILTON BEIRUT METROPOLITAN PALACE March 09, 2017 Le Liban et lchange automatique dinformations fiscales Un tournant historique, un dfi pratique Practical I mplementation & Implication Karim Daher HBD-T Law

403 views • 28 slides
Programmation de contraintes ou programmation automatique ? Constraint propagation or automatic

Programmation de contraintes ou programmation automatique ? Constraint propagation or automatic

Programmation de contraintes ou programmation automatique ? Constraint propagation or automatic programming? Jean-Louis Laurire Annot par Jacques Pitrat Rsum : Aprs avoir effectu un bilan sur les problmes NP-complets et les

912 views • 37 slides
Monter un syst` eme de traduction automatique statistique bas e sur les s equences de mots:

Monter un syst` eme de traduction automatique statistique bas e sur les s equences de mots:

Experimenting with Phrase-Based Statistical Translation 1 Monter un syst` eme de traduction automatique statistique bas e sur les s equences de mots: Le cas de la campagne d evaluation IWSLT Philippe Langlais RALI/DIRO

681 views • 42 slides
Traitement automatique des langues : Fondements et applications Cours 11 : Neural networks (2)

Traitement automatique des langues : Fondements et applications Cours 11 : Neural networks (2)

Traitement automatique des langues : Fondements et applications Cours 11 : Neural networks (2) Tim Van de Cruys & Philippe Muller 20162017 Introduction Machine learning for NLP Standard approach: linear model trained over

503 views • 37 slides
Traitement automatique des langues : Fondements et applications Cours 10 : Neural networks (1)

Traitement automatique des langues : Fondements et applications Cours 10 : Neural networks (1)

Traitement automatique des langues : Fondements et applications Cours 10 : Neural networks (1) Tim Van de Cruys & Philippe Muller 20162017 Introduction Machine learning for NLP Standard approach: linear model trained over

1.09k views • 84 slides
RIStAL Centre de Recherche en Informatique, Signal et Automatique de Lille 1 Outline

RIStAL Centre de Recherche en Informatique, Signal et Automatique de Lille 1 Outline

Temporal Interfaces for Adaptive Real-Time Components Giuseppe Lipari, University of Lille CRTS Workshop @ RTSS, 5 december 2017 RIStAL Centre de Recherche en Informatique, Signal et Automatique de Lille 1 Outline Introduction 1 2

559 views • 44 slides
V erification automatique de multiplicateurs avec les *BMDs Pierre Senellart 10 d ecembre

V erification automatique de multiplicateurs avec les *BMDs Pierre Senellart 10 d ecembre

V erification automatique de multiplicateurs avec les *BMDs Pierre Senellart 10 d ecembre 2002 Introduction BDDs [1] very powerful tools for veifying arithmetic circuits. But exponential on multipliers. *BMDs [2] give a

524 views • 20 slides
Dtection automatique danomalies de performance Mohamed Said Mosli Bouksiaa, Franois Trahay,

Dtection automatique danomalies de performance Mohamed Said Mosli Bouksiaa, Franois Trahay,

Dtection automatique danomalies de performance Mohamed Said Mosli Bouksiaa, Franois Trahay, Gal Thomas Introduction Matriel complexe : NUMA, caches hirarchiques, GPU, etc Logiciels complexes : MPI+OpenMP, MPI+CUDA, etc

905 views • 58 slides
Compilations reproductibles Permettre le lien entre un binaire et sa source Lunar

Compilations reproductibles Permettre le lien entre un binaire et sa source Lunar

Compilations reproductibles Permettre le lien entre un binaire et sa source Lunar lunar@debian.org Lunar (Debian) Compilations reproductibles 1 / 101 Compilation reproductible? Le principe de compilation reproductible permet

1.51k views • 107 slides
Inversion in optimal control. Principles and examples Nicolas Petit Centre Automatique et

Inversion in optimal control. Principles and examples Nicolas Petit Centre Automatique et

Inversion in optimal control. Principles and examples Nicolas Petit Centre Automatique et Systmes cole des Mines de Paris Knut Graichen Franois Chaplais Outline 1. Receding horizon control (RHC - MPC) 2. Efficient trajectory

578 views • 47 slides
RIStAL Centre de Recherche en Informatique, Signal et Automatique de Lille 1 Parametric WCET

RIStAL Centre de Recherche en Informatique, Signal et Automatique de Lille 1 Parametric WCET

JNP : Symbolic WCET Computation Clment Ballabriga, Julien Forget, Giuseppe Lipari Real-Time System Symposium, Paris, December 2017 RIStAL Centre de Recherche en Informatique, Signal et Automatique de Lille 1 Parametric WCET Parametric

231 views • 4 slides
Semi-Crystalline Polymer Morphologies and their Hierarchical Morphologies 1 Semi-Crystalline

Semi-Crystalline Polymer Morphologies and their Hierarchical Morphologies 1 Semi-Crystalline

Semi-Crystalline Polymer Morphologies and their Hierarchical Morphologies 1 Semi-Crystalline Polymer Morphologies and their Hierarchical Morphologies Semi-Crystalline Helical Structure Chain Folding Semi-Crystalline Fibrillar Growth

1.46k views • 74 slides
RIStAL Centre de Recherche en Informatique, Signal et Automatique de Lille Outline 1 Plan of the

RIStAL Centre de Recherche en Informatique, Signal et Automatique de Lille Outline 1 Plan of the

Real-Time scheduling under uncertainty : challenges and solutions G. Lipari EDIS 2017, 17-18 December 2017 1 RIStAL Centre de Recherche en Informatique, Signal et Automatique de Lille Outline 1 Plan of the talk 2 Introduction to Real-Time

1.31k views • 75 slides
Semi-Secure Semi-Secure where a hash is a secure one-way function. A cookie is a bit of state

Semi-Secure Semi-Secure where a hash is a secure one-way function. A cookie is a bit of state

One-Slide Summary Users often authenticate themselves by providing passwords. We store and compare hashes of passwords, Semi-Secure Semi-Secure where a hash is a secure one-way function. A cookie is a bit of state associated with a webpage

103 views • 9 slides
Apprentissage Automatique et Fouille de donnes textuelles Jean-Michel RENDERS Xerox Research

Apprentissage Automatique et Fouille de donnes textuelles Jean-Michel RENDERS Xerox Research

AAFD'06 1 Apprentissage Automatique et Fouille de donnes textuelles Jean-Michel RENDERS Xerox Research Center Europe (France) AAFD06 AAFD'06 2 Plan Global Introduction : Fouille de textes Spcificit des donnes textuelles

1.08k views • 63 slides
Semi-Supervised Learning Maria-Florina Balcan 03/30/2015 Readings: Semi-Supervised Learning.

Semi-Supervised Learning Maria-Florina Balcan 03/30/2015 Readings: Semi-Supervised Learning.

Semi-Supervised Learning Maria-Florina Balcan 03/30/2015 Readings: Semi-Supervised Learning. Encyclopedia of Machine Learning. Jerry Zhu, 2010 Combining Labeled and Unlabeled Data with Co- Training. Avrim Blum, Tom Mitchell. COLT

953 views • 45 slides
Semi-Supervised Kernel Mean Shift Clustering A Semi-Supervised Clustering Approach Motivation:

Semi-Supervised Kernel Mean Shift Clustering A Semi-Supervised Clustering Approach Motivation:

Semi-Supervised Kernel Mean Shift Clustering A Semi-Supervised Clustering Approach Motivation: Need for Supervision Data may not form clusters in Mapping to Feature Space Constraint Vector Input Points Clustering Projection the input

307 views • 27 slides
Theory of Computer Science D6. Decidability and Semi-Decidability Malte Helmert University of

Theory of Computer Science D6. Decidability and Semi-Decidability Malte Helmert University of

Theory of Computer Science D6. Decidability and Semi-Decidability Malte Helmert University of Basel May 4, 2016 (Semi-) Decidability Recursive Enumerability Models of Computation and Semi-Decidability Summary Overview: Computability Theory

600 views • 39 slides
Small Normalized Boolean Circuits for Semi-disjoint Bilinear Forms Require Logarithmic

Small Normalized Boolean Circuits for Semi-disjoint Bilinear Forms Require Logarithmic

Small Normalized Boolean Circuits for Semi-disjoint Bilinear Forms Require Logarithmic Conjunction-depth Andrzej Lingas, Lund university CCC 2018 0-0 Semi-disjoint Bilinear Form A set F of quadratic polynomials over a semi-ring,

349 views • 22 slides
BK-HT Semi Premium Connection Precision Connections BK-HT Semi Premium Connection Designed

BK-HT Semi Premium Connection Precision Connections BK-HT Semi Premium Connection Designed

BK-HT Semi Premium Connection Precision Connections BK-HT Semi Premium Connection Designed Primarily for: - High Torque Frac Strings - High Collapse P110 and L80 - 125 ksi min yield P110 grades - Extreme torque & tension - Pipe with

296 views • 17 slides
Auto-Fractal: (R-)assemblage dynamique et automatique d'applications base de composants

Auto-Fractal: (R-)assemblage dynamique et automatique d'applications base de composants

1 Journ e e ADAPT ADAPT du du GdR GdR ASR ( ASR (Perpi Perpi 2006) 2006) Journ 3 octobre octobre 2006 2006 Perpignan Perpignan, France , France 3 Auto-Fractal: (R-)assemblage dynamique et automatique

534 views • 35 slides
What School Board Members Need to Know About SEMI and How to Increase Their Special Education R

What School Board Members Need to Know About SEMI and How to Increase Their Special Education R

What School Board Members Need to Know About SEMI and How to Increase Their Special Education R evenue Presented By: Danielle Sochor Chief Academic Officer dsochor@gpsd.us Deneen Molloy SEMI Coordinator dmolloy@gpsd.us Glassboro Public

460 views • 17 slides

More recommend