Здрасте

Задача следующая, решения пока я не вижу.
Приложение взято под визор/трассировку - не суть важно, имеем каждую инструкцию его.
Исполнение цикла имеет большой тайминг, посему цикл необходимо обнаружить и скипнуть.
Как обнаружить цикл ?

Вначале нужно дать какое то чёткое определение - что такое цикл.
Серия вызовов функции(апи к примеру) очевидно это не цикл.
Можно в графе найти замыкания ветвей, но мы его построить не можем - это слишком долго, нужно всё сделать в динамике.

-----
vx

| Сообщение посчитали полезным:

Чуваг, найди инструкции <loop> и <jxx> и включи счётчик_инструкций и счётчик_цикла. Для каждого найденного <loop> и <jxx>.
Если при повторном проходе этого адреса (<loop> и <jxx>) счётчик_инструкций будет меньше какого-то наперёд заданного значения, а счётчик_цикла больше своего заданного значения, то это и будет цикл.

Но только что-то подсказывает, что это всё никому не нужная ерунда.
Ну зачем, к примеру, перепрыгивать цикл настройки импортов при запуске приложения?

| Сообщение посчитали полезным:

dosprog

Так не получится, так как после ветвления не должно быть не повторяющихся инструкций, иначе это будет не цикл. Таким образом каждая инструкция должна помечаться в пределах цикла. Счётчик не поможет.

-----
vx

| Сообщение посчитали полезным:

difexacaw пишет: llvm не робит в реалтайме

Трейсер и jit вполне работают, даже умеют грузить эльфы с пе, это не говоря о хз каком числе языков использующих jit llvm в своем интерпретаторе.
Вот с этого и нужно было начинать. В таком случае бери X c Y и смотри когда сработает флаг перехода или влепи int 3 на выходе цикла или что там используешь, только убедись, что выход один, иначе может сработать не тот триггер, что ты ожидал, поскольку между двумя переходами может быть еще куча, например аварийный или выход по одному из условий, вот их адреса тоже нужно брать и на их выходе лепить останов, после выхода по одному из пути можно убирать остановы.

| Сообщение посчитали полезным:

> Ну зачем, к примеру, перепрыгивать цикл настройки импортов при запуске приложения?

А зачем мне крутить цикл настройки импортов, если мне импорты не нужны, тем самым понизить значительно общий профайл

-----
vx

| Сообщение посчитали полезным:

difexacaw пишет: Так не получится, так как после ветвления не должно быть не повторяющихся инструкций

Декрипт в цикле перестал быть циклом из за декрипта, рили?

| Сообщение посчитали полезным:

shellstorm

А что считать и зачем счётчиком, покажите на примере.

-----
vx

| Сообщение посчитали полезным:

difexacaw пишет: А что считать и зачем счётчиком, покажите на примере.

Раскраску, что же еще, признак цикла это замыкание, если мы ушли от X и от Y возвращаемся к X, значит X можно пометить, как посещенное, но раз ты ничего хранить не собираешься, значит и счетчик не нужен, но промежуточные переходы проверять нужно, поскольку, как уже говорил, выходов из цикла может быть больше одного.

допустим
X:
...
cmp eax,1000
jnz ...
call ... выход
cmp edx, 1
jmp ... выход
...
je X
...
выход
грубо, ну суть должна быть понятна.

Добавлено спустя 1 минуту
Причем если код под морфом, выход может и появиться во время работы, отпустил приложения и дальше что?

| Сообщение посчитали полезным:

difexacaw пишет:
Так не получится, так как после ветвления не должно быть не повторяющихся инструкций, иначе это будет не цикл. Таким образом каждая инструкция должна помечаться в пределах цикла. Счётчик не поможет.

Следи только за инструкциями переходов.

| Сообщение посчитали полезным:

исключение внутри цикла - еще один вариант выхода

| Сообщение посчитали полезным:

shellstorm

Нет проблемы выделить ветвления, даже конструктор не нужен. Вот собрал семпл для выделения цикла:



Трассируем апи -> находим цикл -> выделяем цикл в буфер -> выполняем буфер -> продолжаем трейсить.

39d1_21.05.2017_EXELAB.rU.tgz - Cycle2.rar

-----
vx

| Сообщение посчитали полезным:

difexacaw пишет: Нет проблемы выделить ветвления, даже конструктор не нужен

С этим как раз все понятного, я немного о другом, как бы проще объяснить, представь виртуальную машину или песочницу, там тоже делают подобные хаки для ускорения, отпустил цикл и сидишь ждешь на выходе, а выходов много, в итоге приложение убегает из песочницы, нужно в выделенном коде контролировать переходы, либо врубить int'ы по адресам перехода или контролировать контекст с установкой флага и нет гарантии, что ссылка постоянная, допустим jnz\JE\etc REG, внутри цикла ссылка может измениться и приложение выйдет за пределы цикла, и начнет жить своей жизнью.

Добавлено спустя 3 минуты
в ntdll простой код для тестов лучше взять что то по тяжелее, если конечно планируется делать универсальный двиг, потестить на малварке\протекторах и на тяжелом плюсовом коде, например какой нибудь реализации linq, там под капотом как раз указатели с циклами.

| Сообщение посчитали полезным:

shellstorm

Да нет, если все ветвления поправить, то выйти из цикла куда то есчо невозможно, только если через системный вызов. Но такое конечно же нужно обработать. Себя в буфере изменить тоже нельзя, он RE.

Добавлено спустя 1 минуту
> лучше взять что то по тяжелее

vmprotect

-----
vx

| Сообщение посчитали полезным:

Теперь ясно, фикс ссылок на буфер, в целом тоже решение.

difexacaw пишет: vmprotect
Нет, в этом плане он простой, бегает только много и размазан по модулю, но ничем особо не удивляет, у него сложности в другом, за одной инструкцией портянка кода.
Что то древнее, раньше любили хаки на стеке и подобную дребедень которая так настораживает антивирусы.

| Сообщение посчитали полезным:

Я думаю что задача сформулирована неправильно - зачем искать цикл и кому он нужен, за один проход это не реализуемо, особенно на обфусцированном коде, а чтобы сократить время анализа нужно пройти весь код единицы трансляции (например функции) за 1 раз и ничего при этом не пропустить - такая задача решаема на любом коде за 1 проход. Если хотите могу описать по шагам как это сделать, этот алгоритм успешно работает хоть на линейном, хоть на обфусцированном коде и его реализация не так и сложна.
Если же требуется в дальнейшем построить код близкий к исходному, то это делается на втором и следующих проходах, где локализуются блоки присвоений, сравнений, вызовов функций, циклов, свичей и всей прочей более высокоуровневой реализации чем просто асм код.

-----
Everything is relative...

| Сообщение посчитали полезным:

Vamit пишет: свичей

Я бы почитал о свитчах.

| Сообщение посчитали полезным:

Для начала нужно определить условие окончания единицы трансляции, начало известно - это адрес с которого начинаем анализ. А условие окончания будет зависеть от типа самой единицы трансляции.
Например, для функции будет 2 условия окончания: (ret или jmp) + признак восстановления первоначальной границы стека. Без учета границы стека и ret и jmp могут быть как вызовами вложенных функций, так и чем-то другим принадлежащим телу функции.
Для обработчика примитива ВМ тоже будет 2 окончания: переход на начало цикла ВМ (или выборка адреса следующего примитива для безцикловых вм) или выход из вм.
В общем условие конца анализа определяете сами в зависимости от того что анализируете.
До начала анализа требуется подготовка:
- Сохраняем значения всех регистров, значения не обязательно должны быть реальными, поверьте, все прекрасно работает с любыми значениями.
- Сохраняем вершину стека и как минимум 10 значений в стеке до вершины, идеальный вариант - если пройдена (разобрана) вызывающая единица трансляции, то сохраняем весь контекст переданный вызываемой единице от вызывающей.
- Готовимся к сохранению значений памяти. Это будет просто массив структур содержащих 2 члена: адрес и значение, можно сделать и сложнее, адрес, размер данных, тип данных, сами данные.
- Готовим таблицу переходов и меток (reference to jmp). Это будет простой массив, в который будут добавляться следующие структуры vXRefs по мере анализа.
Сама структура довольно проста:

Эта структура обладает даже некоторой избыточностью, но это не беда, когда есть необходимое, хуже - искать то, чего нет...
Теперь можно начинать однопроходный анализ и ничего не пропустить.

shellstorm пишет:
Я бы почитал о свитчах.
Свитчи на первом проходе не реализуются, а только намечаются.

-----
Everything is relative...

| Сообщение посчитали полезным: shellstorm

Vamit

Вы так же не можите свои мысли выражать, как и понимать суть. Какой есчо анализ, я что то спрашивал про декомпиль - нет. Вы нагенерили бреда как обычно, который не читабельный после первых двух предложений. Но спасибо за попытку обьяснить и понять.

-----
vx

| Сообщение посчитали полезным:

Vamit а условие difexacaw пишет:
Код выполняется под визором в реалтайме.

Задача - задетектить полиморфный цикл в динамике с малым таймингом к примеру ..

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным: difexacaw

mak
Первоначальная задача в общем виде не решаема, можно реализовать только частные случаи. Я же хотел предложить альтернативный вариант, который работает как в динамике, так и в статике, и без разницы кто его использует- трейсер, декомпиль, анализатор или визор кода, это уже всё обработка полученного результата.
Не хотите, как хотите, Баба с возу - кобыле легче...

-----
Everything is relative...

| Сообщение посчитали полезным:

Vamit

Задача решена, топик клосед. Всем спасибо.

Хм, последнее сообщение можно редактировать, весьма хорошая фича.

Последняя имплементация, из темы на васме.

4e88_01.06.2017_EXELAB.rU.tgz - Cycle.zip

-----
vx

| Сообщение посчитали полезным: