http://ariadne.group-ib.ru/ru/

Ariadne – это фреймворк для всех, кто занимается reverse engineering и смежными задачами (анализ вирусов, защита ПО и ее анализ, forensic и т.д.). Во всех этих случаях Ariadne позволит сэкономить существенную часть времени за счет предоставления решения нудных типовых задач. А ведь создание кода, решающего эти нудные типовые задачи, может занимать до 80% времени! При этом никто не застрахован от повторения уже неоднократно совершенных кем- то ошибок, исправление которых отнимает время. Ariadne позволит сэкономить время и творческий потенциал для решения действительно инновационных задач.

http://ariadne.group-ib.ru/ru/download
демо версия ariadne.zip

http://www.slideshare.net/dschelkunov/on-deobfuscation-in-practice
какая то презентация, если кто может скачайте и переложите на нормальный фо

ps мне почему то кажется это работа кого то с форума, не?

| Сообщение посчитали полезным: mak, vden

reversecode пишет:
какая то презентация, если кто может скачайте и переложите на нормальный фо
нормальный фо

по ходу сайтег ток появился, купить даже пока невозможно, интересно сколько стоит эт чудо.

| Сообщение посчитали полезным: mak

.

1c08_30.11.2011_EXELAB.rU.tgz - ondeobfuscation-111128103540-phpapp01.pdf

| Сообщение посчитали полезным:

Скомпиляйте кто-нить гуи для библы с возможностью выбора файла

-----
SaNX

| Сообщение посчитали полезным:

SaNX пишет:
Скомпиляйте кто-нить гуи для библы с возможностью выбора файла

Очень скоро выложим плагин для IDA 6.1, который был показан на -->0nights <--.

| Сообщение посчитали полезным:

.pps само убийство)) неужели в флеше или pdf сделать нельзя было?

Ariadne пишет:
Очень скоро выложим плагин для IDA 6.1
тем кто небыл на той конфе, можно какието слады поглядеть хотябы?
что бы понимать о чем речь идёт

Ariadne пишет:
pdf парой постов выше
)) pps была же днём, точно помню

| Сообщение посчитали полезным:

.pps само убийство)) неужели в флеше или pdf сделать нельзя было?


pdf парой постов выше

reversecode пишет:
тем кто небыл на той конфе, можно какието слады поглядеть хотябы?
что бы понимать о чем речь идёт


Та pdf-ка - презентация с конфы. Семплы доступны здесь, как и вся документация. Сегодня-завтра выложим видео для семплов и плагин.

| Сообщение посчитали полезным:

Ariadne пишет:
вся документация

Понятно, что продукт ориентирован прежде всего за бугор. По этому документация на вражеском. Но продукт все же exUSSR и может и документация (хотя бы в черне) есть на великом и могучем. Все понятно и так, но все же для школоты?

-----
127.0.0.1, sweet 127.0.0.1

| Сообщение посчитали полезным:

OKOB пишет:
Но продукт все же exUSSR и может и документация (хотя бы в черне) есть на великом и могучем.

Если честно, на русском есть, но не вся, не отформатирована и не в последней версии Более половины сразу создавалось на английском. Но мы уже думаем над тем, чтобы иметь и русский вариант всей документации.

| Сообщение посчитали полезным:

Ariadne
Может забить? Буржуйский большинство знает, кто не знает может в гугль-транслейт закинуть.
Лучше приложить усилия на совершенствование продукта.

-----
старый пень

| Сообщение посчитали полезным:

reversecode пишет:
)) pps была же днём
Все верно, оригинал был в pps. Просто подумал что не у всех есть Power Point и сохранил в pdf.

По теме: проект считаю нужным и перспективным. Сам сейчас занимаюсь похожим вопросом, но для ARM.
Также неплохо бы больше примеров использования API.

| Сообщение посчитали полезным:

я вот не совсем понял или пропустил где описано но
В AIR Wave Deobfuscation Technology используется два метода деобфускации – статический и динамический. Статический метод более приближен к классическим подходам из теории компиляторов. Динамический метод основан на эмуляции IR инструкций и дает более мощные результаты там, где не справляется статический

Хотим отметить, что для предотвращения нелегитимного использования фреймворка Ariadne в поставку включен только деобфускатор трассы

так в демке статический или динамический?
то что демка ограничена до x86 и без крутого мемори аллокатора - понятно

еще вопрос
плагин для IDA будет работать для любого x86 кода? или только для x86 кода PE файлов?
т.е. учитывает или игнорирует ли плагин тип файла?

| Сообщение посчитали полезным:

reversecode пишет:
так в демке статический или динамический?

В демке статический деобфускатор трассы. Динамический будет в полной версии.

цитата с нашего сайта:

Demo version (alpha). Please note that this is an alpha version so the interface or structures may slightly change in the release version.

x86 only
Commercial usage restrictions
Static trace deobfuscation only
Ariadne IR trace decompiler only (you can decompile from binary code into Ariadne IR a trace only)
Memory manager has a memory usage limit (2Gb)

Те примеры, что у нас на сайте, являются примерами работы динамического дееобфускатора. Он позволяет более эффективно работать с указателями и там вообще много чего вкусного есть

еще вопрос
плагин для IDA будет работать для любого x86 кода? или только для x86 кода PE файлов?
т.е. учитывает или игнорирует ли плагин тип файла?

Пока только PE, логика работы с бинарями есть, но мы включим ее несколько позже. На самом деле IDA мы используем для удобства задания входных данных и как средство вывода результата. Т.е. мы сами открываем файл (пока только PE), сами его парсим, декомпилируем нужный участок в IR (трасса) и делаем деобфускацию. Результат выводим в окошко IDA. Это все в доке по плагину будет. Думаем, завтра, если не случится чего-то непредвиденного

| Сообщение посчитали полезным:

понятно
а что обозначает
Хотим отметить, что для предотвращения нелегитимного использования фреймворка Ariadne в поставку включен только деобфускатор трассы
?
что обратно в .бинари код невозможно будет запаковать?
тоесть результат работы демо будет некий txt файл псевдо asm?

| Сообщение посчитали полезным:

reversecode пишет:
что обратно в .бинари код невозможно будет запаковать?
тоесть результат работы демо будет некий txt файл псевдо asm?

В случае трассы можно запаковать трассу В Ariadne есть логика перевода из IR обратно в asm, а точнее даже в буфер бинарный, на который можно передать управление. Можно и текстовое представление получить.
Если честно, нет особых преград для добавлении логики деобфускации полного покрытия. У нас ничего не заточено специально под трассу в плане оптимизации\деобфускации. Вопрос только в том, стоит ли отдавать в паблик полноценный деобфускатор с возможностью сохранения результата обратно, да еще и с сохранением логики работы заоптимизированного кода

| Сообщение посчитали полезным: r_e

подождём значит завтра плагина для IDA, что бы пощупать-понять
а то у меня недопонимание что же можно, а что не получится

| Сообщение посчитали полезным:

Ariadne
Прям проект моей мечты =)
Если будет вменяемая ценовая политика для СНГ, может даже прикуплю.

-----
старый пень

| Сообщение посчитали полезным:

Ariadne

Если не хотите чтобы попало в паблик, тогда продажа под вопросом? Или покупка тоже урезанной будет ..

Есть возможность описывать свой код? Например я делаю с параметрами генерацию дизасм листинга, грубо говоря геню парсер или дизасм частично по правилам, чтобы разбирать любой код, это повышает гибкость самого двига .. то есть ИР может воспроизводить все что угодно ..

Расширенная работа с шаблонами возможна? Примитивный анализ хотябы ? А то методы это круто, но гибкость инструмента лучше пусть зависит от пользователя.

Возможность подключать свои оптимизации будет? Скриптовое сопровождение?

П.С. У меня есть файл, в целом публично выложенный, там граммотно сделанный обфускатор, размер файла 2 мегабайта, но под линь, интересно было бы посмотреть на результат работы. Может сделаете?

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

Ariadne
Какая цена?

-----
aLL rIGHTS rEVERSED!

| Сообщение посчитали полезным:

mak пишет:
Если не хотите чтобы попало в паблик, тогда продажа под вопросом? Или покупка тоже урезанной будет ..
OnLyOnE пишет:
Ariadne
Какая цена

Продажи не под вопросом и должны стартовать в скором будущем. Сейчас идет окончательное определение стратегии и ценовой политики + мелкие доработки движка.

mak пишет:
Есть возможность описывать свой код? Например я делаю с параметрами генерацию дизасм листинга, грубо говоря геню парсер или дизасм частично по правилам, чтобы разбирать любой код, это повышает гибкость самого двига .. то есть ИР может воспроизводить все что угодно ..

Расширенная работа с шаблонами возможна? Примитивный анализ хотябы ? А то методы это круто, но гибкость инструмента лучше пусть зависит от пользователя.

Возможность подключать свои оптимизации будет? Скриптовое сопровождение?
Вот как-раз для этого то в том числе двиг и создавался - дать людям возможность свои техники применять, используя наше API. Скриптов пока нет. Если имеются в виду шаблончики , которые морф генерирует, то их у нас сейчас вообще никаких не забито, т.к. деобфускатор не шаблонный, но легко их задать при желании.

mak пишет:

П.С. У меня есть файл, в целом публично выложенный, там граммотно сделанный обфускатор, размер файла 2 мегабайта, но под линь, интересно было бы посмотреть на результат работы. Может сделаете?

На данный момент поддерживается только x86 PE, потому для Линкуса потребуются танцы с бубном. По поводу семплов, чтобы потестить, можно в личку тогда писать.

| Сообщение посчитали полезным:

а почему такая привязка к PE?
почему не raw code? там же как я понимаю дизассемблер уже есть?
тоесть логика скармливаем дизассемблеру начало и длинну блока, а потом производим действия по деобфускации

вообщем то незнаю как насчет готовой программы для полной деобфускации PE/ELF
но в демке для IDA хотелось бы что бы можно было поигратся с деобфускацией выделеных кусков кода

без привязки к формату файла

| Сообщение посчитали полезным:

Ariadne
ну а плаг-то где? седня же обещали

-----
SaNX

| Сообщение посчитали полезным:

reversecode пишет:
а почему такая привязка к PE?
Потому, что это высокоуровневый дизасм, который опирается на релоки, импорт, точку входа, экспорт и прочее.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным: ClockMan

PE_Kill пишет:
Потому, что это высокоуровневый дизасм, который опирается на релоки, импорт, точку входа, экспорт и прочее.
там до этого был пост о том что если хотите семлы с линукса, отрежите и пришьете к ним PE

потому мой вопрос был продолжением, зачем отрезать если проще снимать по заданым интервалам

| Сообщение посчитали полезным:

Ariadne пишет:
Вот как-раз для этого то в том числе двиг и создавался - дать людям возможность свои техники применять, используя наше API. Скриптов пока нет. Если имеются в виду шаблончики , которые морф генерирует, то их у нас сейчас вообще никаких не забито, т.к. деобфускатор не шаблонный, но легко их задать при желании.

Понятно что не шаблонный, я имел ввиду рип или вывод шаблонов, если ИР построен гибко то возможно в динамике работать с самим ИР, а остальное использовать в сторонних проектах. Также чтобы повысить функционал скриптовой язык повязан на эмуль ИР а также построен сам на себе, может с частичными отклонениями ... это позволит разучить внутренности и сделать многое другое .. Мысли в слух ..

Ariadne пишет:
На данный момент поддерживается только x86 PE, потому для Линкуса потребуются танцы с бубном. По поводу семплов, чтобы потестить, можно в личку тогда писать.

Спасибо, понятно.

PE_Kill пишет:
reversecode пишет:
а почему такая привязка к PE?
Потому, что это высокоуровневый дизасм, который опирается на релоки, импорт, точку входа, экспорт и прочее.


Динамическая работа пользователя с ИР решает этот вопрос очень удачно, поэтому это для меня и стал основной вопрос универсальности. А значит если это будет, нужен либо свой отдельный гуй, либо уже гуй привязанный либо к иде, либо еще к чему .. А ранее склонялся к своему гую, так проще, а перенос уже организовать в другую среду не проблема.



Ariadne
Ну и главный вопрос , скидки жителям бывшего СССР ожидаются?!)

r_e пишет:
Ariadne
Прям проект моей мечты =)
Если будет вменяемая ценовая политика для СНГ, может даже прикуплю.

Интерактивный Деобфускатор , проект моей мечты тоже

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным: neomant

reversecode пишет:
там до этого был пост о том что если хотите семлы с линукса, отрежите и пришьете к ним PE
Ну и соответственно часть кода/данных не распознается, вот и всё.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

SaNX пишет:
ну а плаг-то где? седня же обещали

Уже почти вот Сегодня еще не кончилось
mak пишет:
Понятно что не шаблонный, я имел ввиду рип или вывод шаблонов, если ИР построен гибко то возможно в динамике работать с самим ИР, а остальное использовать в сторонних проектах. Также чтобы повысить функционал скриптовой язык повязан на эмуль ИР а также построен сам на себе, может с частичными отклонениями ... это позволит разучить внутренности и сделать многое другое .. Мысли в слух ..

Можно взять dll-ку нашу, прилинковать к проекту своему и работать с ней, используя ее интерфейсы. Если имеется в виду интерактивность, то можно юзать IDA с нашим плагином, который, по сути, является некой оберткой над dll. Можете более подробно отписать, что Вы имеете в виду? Нам интересен любой фидбек и предложения.

mak пишет:
Ariadne
Ну и главный вопрос , скидки жителям бывшего СССР ожидаются?!)

В данный момент ничего по ценам не можем сказать. Но пожелание во внимание принято ;)

| Сообщение посчитали полезным:

Видимо, на сайт не успеем положить сегодня плагин. Взять его можно здесь
Там и дока по нему есть.

| Сообщение посчитали полезным:

Ariadne: Some error occurred during optimization!
не судьба
у кого то уже есть какие нибудь результаты?
странно функция была вроде не большая, там лимит спецом навешен?)
или не совершенство пока что инструмента

OS WinXP SP2 x86

| Сообщение посчитали полезным:

reversecode, результат аналогичный по причине превышения 2Гб для Демо версии...
OS: Win7 x64

-----
.[ rE! p0w4 ].

| Сообщение посчитали полезным: