 |
eXeL@B —› Основной форум —› Деобфускаторы |
| Посл.ответ | Сообщение |
|
|
Создано: 05 мая 2011 23:30 · Личное сообщение · #1 Есть что в паблике нового, типа cleaner by kab? Или все на своих велосипедах? ----- старый пень  | Сообщение посчитали полезным: antipod |
|
|
Создано: 06 мая 2011 08:24 · Поправил: VodoleY · Личное сообщение · #2 Поддерживаю вопрос, ибо щаз и занимаюсь таким велосипедом. Есть ли документация на эту тему? P/S/ Сорцы на покурить... нашел в глубинах форума http://exelab.ru/f/action=vthread&forum=3&topic=13580&page=1#3 ----- Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме.... |
|
|
Создано: 06 мая 2011 09:20 · Личное сообщение · #3 CodeDoctor ещё не упомянут в топике. Есть и ещё пара софтин типа IDA Deobfuscator plugin. Но толкового ничего в паблике нет. |
|
|
Создано: 06 мая 2011 09:53 · Личное сообщение · #4 В гугле при поиске чего-бы то ни было на эту тему можно натолкнуться на статьи из конференций по технологиям Microsoft, где, конечно, нет конкретных реализаций, но описываются очень интересные вещи. Т.е., к примеру, в одной из них автор доказывает, что возможно создание таких обфускирующих преобразований, деобфускация которых невозможна за полиномиальное время. В другой публикации говорится, что простые обфускирующие преобразования (там же даётся их классификация) возможно деобфускировать за полиномиальное время, и автор утверждает, что ему удалось автоматизировать этот метод, более этого, он также говорит, что всё это работает на простых полиморфных вирусах. Ещё встречал статью, где описывается очитска трассы виртуальных машин, но тоже в теории. Сейчас так сразу и не приведу гоотовых ссылок, но если кому интересно, то либо сами поищите в гугле, либо могу у себя на винте покопаться, поискать. ----- Stuck to the plan, always think that we would stand up, never ran. |
|
|
Создано: 06 мая 2011 09:55 · Личное сообщение · #5 r_e пишет: Есть что в паблике нового, типа cleaner by kab Immunity Debugger + Python scripts ----- Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли. |
|
|
Создано: 06 мая 2011 11:22 · Личное сообщение · #6 Archer Последние новости из мира мертвых от 2009 года. Насколько я понял, IDA Deob это тот же cleaner, только с фиксированным набором правил. CodeDoctor еще и под OllyDbg, что для статического анализа не очень удобно. ARCHANGEL Не читал, но осуждаю. ClockMan Питон есть и в иде. Грустно. Прийдется допиливать старье. ----- старый пень |
|
|
Создано: 06 мая 2011 14:15 · Поправил: BoRoV · Личное сообщение · #7 Ну, генерик деобфускатором уже давненько занимается один "признанный эксперт". Но результатов пока не видно нигде. Но парень он амбициозный, у него великие планы и он уверен, что всё у него получится. В некоторых кругах он известен под ником Pashkin. ----- Лучше быть одиноким, но свободным © $me |
|
|
Создано: 06 мая 2011 17:00 · Личное сообщение · #8 r_e пишет: Или все на своих велосипедах? Угадал 
----- От многой мудрости много скорби, и умножающий знание умножает печаль |
|
|
Создано: 06 мая 2011 19:17 · Поправил: DenCoder · Личное сообщение · #9 Нашёл интересные работы по этой теме. Правда описано всё сложным математическим языком. стр.127 доцент Захаров пишет: В настоящее время имеется совсем немного значимых результатов исследования проблемы об- фускации. В работе [2] было приведено первое формальное определение стойкости обфускации и доказана теорема о невозможности построения стойких обфускаторов в некоторых классах про- грамм. Эти результаты были усилены в работах [5,8]. Вместе с тем в работах [6,7,9] было показано, что стойкая (при стандартных криптографических предположениях) обфускация возможна для некоторых программ специального вида. Разрыв между положительными и отрицательными ре- зультатами велик: для подавляющего большинства практически используемых программ вопрос об их стойкой обфускируемости остается открытым. Для многих моделей вычисления задача об- фускации вообще не рассматривалась. В частности, неизученным остается вопрос об обфускации конечных автоматов. ----- IZ.RU |
|
|
Создано: 07 мая 2011 08:04 · Поправил: VodoleY · Личное сообщение · #10 http://citforum.ru/security/articles/analysis/ неплохо собрано и классифицировано http://www.insidepro.com/kk/080/080r.shtml ну и кудаже без Криса с его чисто практическим подходом http://exelab.ru/f/action=vthread&forum=6&topic=13288&page=0 дельная ветка ----- Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме.... |
|
|
Создано: 13 мая 2011 10:11 · Личное сообщение · #11 Ещё одна неплохая ОБЗОРНАЯ теоретическая статья. Меня здесь заинтересовал, главным образом, слайсинг. Однако я не совсем понимаю, как это может может быть реализовано в качестве обфускатора, как такового. Вот смотрите. Допустим, мы имеем дело с простейшей обфускацией, типа add/sub. Т.е. к какому-то регистру, например к еах, вначале добавляется какое-то значение, потом тут же отнимается. Приём сам по себе несложный. Но! Допустим, у нас имеется трасса, которую необходимо очистить. На графе выполнения мы помечаем еах как важные данные, т.е. все инструкции, так или иначе оперирующие с еах, пока в нём хранится нужное нам значение, не должны быть вырезаны из лога. Тогда такой простейший мусор (легко удаляемый даже вручную) не будет очищен методом слайсинга. Тем не менее, метод можно применить для борьбы с ВМ, например, горы кода из VMProtect, отвечающие за выборку следующей инструкции из массива байт-кода, можно удалить. Это также справедливо для других движков ВМ. Но т.к. обфускирующие преобразования чрезвычайно разнообразны в современных ВМ, чистой (идеально чистой) трассы мы не получим. Кто что скажет?  9817_12.05.2011_EXELAB.rU.tgz - BIT_1_2008_9.pdf
----- Stuck to the plan, always think that we would stand up, never ran. | Сообщение посчитали полезным: Coderess, DenCoder |
|
|
Создано: 13 мая 2011 10:20 · Поправил: VodoleY · Личное сообщение · #12 ARCHANGEL я уже какоето время над этим курю, а в качестве пример взял цикл выборки КодеВирта. МАК (смотри ссылку на топик выше) пару лет назад тоже по этому пути шел. Считаю идею с переводом алго в мета язык, любой, хоть си хоть другой с последующей оптимизирующей компиляцией как минимум громоздкой как по коду так и по выполнимости. Пытаюсь закодить ща статикодинамический анализ кода с рекурсивной утряской графов. Пока все до кучи еще не собрал, но пока невижу ниче не выполнимого. З.Ы. за материал Огромадное СПС ----- Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме.... |
|
|
Создано: 14 мая 2011 21:07 · Личное сообщение · #13 Раз уже со своими велосипедами перекочевали из той ветки в эту, то и на запрос на повтор архива отвечу тут. Конечно-же это не тот самый архив, что было в том и не вспомню. Часть информации может дублироваться. Этот архив 23 метра, большинство материала на английском: 4 диссертации, технические отчеты, статьи, слайды с конференций. Leon Moonen "Data Flow Analysis for Reverse Engineering", PhD Thesis, University of Amsterdam, Department of Computer Science, Mila Dalla Preda "Code Obfuscation and Malware Detection by Abstract Interpretation" PhD Thesis, Universit`a degli Studi di Verona, Dipartimento di Informatica Matias Madou Application Security through Program Obfuscation PhD Thesis, Universiteit Gent, William Feng Zhu Concepts and Techniques in Software Watermarking and Obfuscation PhD Thesis, University of Auckland, Department of Computer Sciences http://rghost.ru/6366041 курите инфу на здоровье! ----- 127.0.0.1, sweet 127.0.0.1 | Сообщение посчитали полезным: r_e, VodoleY, antipod |
|
eXeL@B —› Основной форум —› Деобфускаторы |
Для печати