Praktyczna inżynieria wsteczna

Gynvael Coldwind, Mateusz Jurczyk

Uzyskaj dostęp

Zakup książkę

ISBN/ISSN:

978-83-01-19046-0

DOI:

Wydawnictwo:

Wydawnictwo Naukowe PWN

Rok wydania:

2016

Liczba stron:

293

XML:ISBN/ISSN:

ONIX MARC21

Bibliografia:

Coldwind, Gynvael; Jurczyk, Mateusz. Praktyczna inżynieria wsteczna. Red. . Warszawa: Wydawnictwo Naukowe PWN, 2016, 293 s. ISBN 978-83-01-19046-0

Bibliografia refWorks:

RT Book, Whole

SR Electronic(1)

A1 Coldwind, G.

A1 Jurczyk, M.

T1 Praktyczna inżynieria wsteczna

PB Wydawnictwo Naukowe PWN

PP Warszawa

YR 2016

SN 978-83-01-19046-0

Bibliografia BibTex:

@Book{ 167312, author = "Coldwind, Gynvael and Jurczyk, Mateusz", editor = "", title = "Praktyczna inżynieria wsteczna", publisher = "Wydawnictwo Naukowe PWN", year = "2016", address = "Warszawa", isbn = "978-83-01-19046-0" }

Bibliografia endNote:

TY - BOOK

AU - Coldwind, Gynvael

AU - Jurczyk, Mateusz

ED -

TI - Praktyczna inżynieria wsteczna

PB - Wydawnictwo Naukowe PWN

CY - Warszawa

PY - 2016

SN - 978-83-01-19046-0

ER -

Netografia (standard APA):

Coldwind, Gynvael; Jurczyk, Mateusz. Praktyczna inżynieria wsteczna [baza danych online] Warszawa: Wydawnictwo Naukowe PWN, 2016 [dostęp: 03 05 2024]. Dostęp w Ibuk Libra: https://libra.ibuk.pl/reader/praktyczna-inzynieria-wsteczna-gynvael-coldwind-mateusz-167312.

bezpieczeństwo, inżynieria wsteczna, reverse engineering

Praktyczna Inżynieria Wsteczna. Metody, techniki i narzędzia Inżynieria wsteczna oprogramowania jest procesem dogłębnej analizy bibliotek, aplikacji i systemów, których kod źródłowy nie jest dostępny dla badacza. Umożliwia ona zarówno odtworzenie ...

Więcej

ISBN/ISSN:

978-83-01-19046-0

DOI:

Wydawnictwo:

Wydawnictwo Naukowe PWN

Rok wydania:

2016

Liczba stron:

293

XML:ISBN/ISSN:

ONIX MARC21

Strona tytułowa2
Strona redakcyjna3
Spis treści4
Wstęp8
1. Funkcje, struktury, klasy i obiekty na niskim poziomie10
1.1. Wywoływanie funkcji w językach (bardzo) niskiego poziomu11
1.1.1. CALL, RET i konwencje wywołań11
1.1.2. Konwencje wywołań x8612
1.1.3. Konwencje wywołań x86-6414
1.2. Struktury15
1.2.1. „Zgadywanie” wielkości i ułożenia elementów struktury w pamięci16
1.2.2. Rozpoznawanie budowy struktur lokalnych i globalnych16
1.2.3. Rozpoznawanie budowy struktur dynamicznie alokowanych17
1.3. Klasy, obiekty, dziedziczenie i tablice wirtualne19
1.3.1. Prosta klasa a struktura19
1.3.2. Obiekty = struktury + funkcje + thiscall20
1.3.3. Wszystko zostaje w rodzinie, czyli dziedziczenie21
1.4. Podsumowanie23
2. Środowisko uruchomieniowe na systemach GNU/Linux24
2.1. Wstęp25
2.2. Pliki wykonywalne ELF26
2.2.1. Identyfikacja systemu i architektury docelowej26
2.2.2. Segmenty27
2.2.3. Segment PT_LOAD28
2.2.4. Segment PT_DYNAMIC28
2.2.5. Sekcja .dynamic28
2.2.5.1. Deklaracja bibliotek zależnych30
2.2.5.2. Wczesna inicjalizacja programu31
2.3. Środowisko uruchomieniowe33
2.3.1. Kod PIC33
2.3.2. Tablice GOT i PLT34
2.3.3. Program ładujący ld.so38
2.3.3.1. Zmienne środowiskowe38
2.3.3.2. LD_LIBRARY_PATH38
2.3.3.3. LD_PRELOAD38
2.3.3.4. LD_AUDIT40
2.3.4. Zrzucanie pamięci procesów41
2.3.4.1. System plików /proc41
2.3.4.2. Pliki specjalne w /proc/pid41
2.3.4.3. Pliki specjalne maps i mem42
2.3.4.4. VDSO43
2.3.4.5. Wektory inicjalizacyjne43
2.3.5. Wstrzykiwanie kodu44
2.3.5.1. Wersja ptrace(2)47
2.3.6. Samomodyfikujący się kod48
2.4. Podsumowanie50
Bibliografia51
3. Mechanizmy ochrony aplikacji52
3.1. Wstęp53
3.2. Przepełnienie bufora na stosie54
3.3. Procedury obsługi wyjątków57
3.4. Zapobieganie wykonaniu danych59
3.5. Losowość układu przestrzeni adresowej60
3.6. Dodatkowe materiały61
3.7. Podsumowanie62
Bibliografia63
4. Metody przeciwdziałania odbudowie kodu aplikacji z pamięci procesu64
4.1. Wstęp65
4.1.1. Zawartość rozdziału65
4.2. Packery, szyfratory i protektory plików PE66
4.3. Emulowanie zabezpieczeń68
4.4. Ochrona przed odbudową kodu programu zapisanego z pamięci procesu69
4.5. Nanomity70
4.6. Skradziony punkt rozpoczęcia programu72
4.7. Przekierowanie i obfuskacja importowanych funkcji76
4.9. Podsumowanie79
Bibliografia80
5. .NET internals – format and RE81
5.1. Wstęp82
5.2. Format pliku .NET83
5.2.1. JIT, czyli drugi stopień kompilacji programu83
5.2.2. Język pośredni CIL83
5.2.2.1. Przykład 1: add()83
5.2.2.2. Przykład 2: stringWriteTest()84
5.2.2.3. Przykład 3: programFlowTest()84
5.2.3. Dedykowane kontenery metadanych86
5.2.4. Wysokopoziomowa struktura programu zachowana w pliku wykonywalnym86
5.2.5. Token87
5.2.6. Funkcje natywne88
5.2.7. AOT88
5.3. Inżynieria wsteczna90
5.3.1. Analiza statyczna90
5.3.2. Dekompilacja90
5.3.3. Rekompilacja i odtwarzanie działania programu91
5.3.4. Modyfikacja istniejących metod92
5.3.5. Debug93
5.3.5.1. dnSpy93
5.3.5.2. Wtyczki do WinDbg94
5.4. Metody protekcji plików .NET95
5.4.1. Nadpisywanie nazw nadanych przez użytkownika95
5.4.2. Szyfrowanie stałych tekstowych95
5.4.3. Utrudnianie dekompilacji95
5.4.4. Ukrywanie kodu programu96
5.4.5. Deobfuskacja96
5.5. Podsumowanie97
Bibliografia98
6. Python – obfuskacja i inżynieria wsteczna99
6.1. Wstęp100
6.2. Obfuskacja a model wykonania101
6.3. Obfuskacja źródeł102
6.4. Pliki .pyc i .pyo104
6.5. Bundlery i kompilator106
6.5.1. Py2exe106
6.5.2. cx_Freeze107
6.5.3. PyInstaller107
6.5.4. Nuitka109
6.5.5. Inne bundlery i kompilatory113
6.6. Obiekty code i function114
6.7. Kod bajtowy i gdzie go szukać118
6.8. Prosta obfuskacja kodu bajtowego120
6.9. Samomodyfikujący się kod bajtowy123
6.10. Podsumowanie124
Bibliografia125
7. Malware w owczej skórze, czyli o wstrzykiwaniu kodu w inne procesy126
7.1. Wstęp127
7.2. Przegląd technik wstrzykiwania128
7.2.1. Schemat działania128
7.2.2. Przygotowania przed implementacją128
7.2.3. Wybieranie celu128
7.2.3.1. Wstrzykiwanie kodu do istniejącego procesu128
7.2.4. Wpisywanie kodu do zdalnego procesu129
7.2.3.2. Wstrzykiwanie kodu do nowo uruchomionego procesu129
7.2.5. Metody przekierowania do wstrzykniętego kodu130
7.2.5.1. Uruchomienie dodanego kodu w nowym wątku130
7.2.5.2. Dodawanie do istniejącego wątku (przy użyciu NtQueueApcThread)130
7.2.5.3. Nadpisywanie punktu wejścia procesu131
7.2.5.4. Nadpisywanie kontekstu procesu132
7.2.5.5. Dodawanie do okienka Tray133
7.2.5.6. PowerLoader134
7.3. Tworzenie wstrzykiwalnego kodu135
7.3.1. Podstawy shellcodu135
7.3.2. Warunki wstrzykiwania plików PE136
7.3.3. Samodzielne ładowanie pliku PE136
7.3.2.1. Wstępne przygotowanie pliku PE136
7.3.3.1. Konwersja surowego obrazu na wirtualny136
7.3.3.2. Pobieranie adresów tabel137
7.3.3.3. Rozwiązywanie relokacji138
7.3.3.4. Rozwiązywanie importów140
7.3.4. Debugowanie wstrzykniętego kodu144
7.3.3.5. Przekierowanie wykonania do dodanego pliku PE144
7.3.3.6. Plik PE o cechach shellcodu144
7.4. Metody wstrzykiwania plików PE146
7.4.1. Klasyczny DLL Injection146
7.4.1.1. Demonstracja146
7.4.1.2. Implementacja146
7.4.2. RunPE (Process Hollowing)147
7.4.2.1. Demonstracja147
7.4.2.2. Implementacja148
7.4.3. ChimeraPE150
7.4.3.1. Demonstracja150
7.4.3.2. Implementacja151
7.4.4. Reflective DLL injection152
7.4.4.1. Demonstracja152
7.4.4.2. Implementacja152
7.4.5. Wstrzyknięcia DLL na poziomie systemu operacyjnego155
7.4.5.1. AppInit_DLLs155
7.4.5.2. Shim + InjectDll Tag155
7.5. Podsumowanie157
Bibliografia158
8. ELFie brudne sztuczki159
8.1. Wstęp160
8.2. ELFie struktury161
8.3. Rozdwojenie jaźni162
8.3.1. Niewidzialny kod162
8.4. Misja: przechwycić resolver167
8.5. Klasyka wiecznie żywa169
8.7. DYNAMICzne zmiany172
8.7.1. Co dwie tablice to nie jedna172
8.7.2. Jeden bajt by nimi rządzić172
8.8. Podsumowanie174
Bibliografia175
9. Łamanie zaawansowanych technik przekierowania API176
9.1. Wstęp177
9.2. Format PE – podstawy178
9.3. Tabela importów180
9.4. Tabela eksportów181
9.5. Proste metody obfuskacji IAT182
9.6. Przekierowania API z przepisywaniem kodu183
9.7. Zróbmy to lepiej!184
9.8. Weryfikacja hipotezy pod debuggerem185
9.9. Automatyczne przepisywanie plików DLL186
9.10. Pierwsza próba i pierwsze problemy189
9.11. Modyfikacja NTDLL191
9.12. Ostatnie poprawki192
9.13. Efekt końcowy193
9.14. Podsumowanie194
Bibliografia195
10. Śledzenie ścieżki wykonania procesu w systemie Linux196
10.1. Wstęp197
10.2. Metody programowe198
10.2.1. Instrumentacja kodu źródłowego198
10.2.2. Instrumentacja programu w ramach kompilacji198
10.2.3. Instrumentacja kodu binarnego200
10.2.4. Śledzenie wywołań systemowych201
10.2.5. Śledzenie wywołań funkcji bibliotecznych201
10.2.6. Emulacja instrukcji202
10.2.7. Nagrywanie i odtwarzanie przebiegu ścieżki wykonania202
10.3. Metody programowo-sprzętowe204
10.3.1. Próbkowanie instrukcji204
10.3.2. Rejestry debuggera204
10.3.3. Wykonanie krokowe205
10.3.4. BTF (Branch Trap Flag)206
10.3.5. LBR (Intel Last Branch Record)207
10.3.6. BTS (Intel Branch Trace Store)208
10.3.7. IPT (Intel Processor Trace)209
10.4. Metody sprzętowe211
10.5. Porównanie wydajności212
10.6. Podsumowanie213
11. Ciasteczko zagłady – studium przypadku eksploitacji routera214
11.1. Wstęp215
11.2. Konsola216
11.3. Architektura MIPS218
11.4. Ciasteczko i ból brzucha219
11.5. Co w trawie piszczy220
11.5.1. Funkcja sub_80244E88221
11.5.2. Funkcja sub_802CF6E8223
11.5.3. Funkcja sub_802457D0225
11.5.4. Argumenty dla funkcji sub_8024281C226
11.5.5. Funkcja sub_8024281C227
11.6. Wykorzystanie podatności230
11.6.1. Adres docelowy230
11.7. Podsumowanie232
Bibliografia233
12. W pogoni za flagą – eksploitacja na systemach Windows i Linux234
12.1. Wstęp235
12.2. Lokalne testowanie rozwiązań236
12.3. Multipurpose Calculation Machine (średnio trudne)237
12.4. Memory (łatwe)243
12.5. Crypto Machine (średnio trudne)248
12.6. Quarantine (bardzo trudne)254
12.7. Night Sky (bardzo trudne)262
12.8. Bubblegum (bardzo trudne)271
12.9. Antipasto (łatwe)282
12.10. Entree (średnio trudne)287
12.11. Podsumowanie291
Bibliografia292
Przypisy293

•SegmentPT_INTERP(3)–określaobszarprzechowującypełnąścieżkędospecjalnegoprogramuładującego(nazywanego

też„dynamicznymkonsolidatorem”,ang.

dynamiclinker

,lubpoprostuld.so),któremuzostanieprzekazanakontrolaniedługo

poprocesiewstępnegoładowaniaplikuELFprzezjądrosystemu.Dane,naktórewskazujeadreszapisanywpolup_offset,zawierają

ścieżkęsystemuplików.

•SegmentPT_LOAD(1)–określaobszardanych,którezostanąumieszczonewpamięcipodwybranymadresem.Danezplikuspod

adresup_offsetzostanąskopiowanedopamięcipodadresp_vaddr,jeślibędzietomożliwe.Jesttotypsegmentuzwykleładującydane

zkodemwykonywalnymprogramudopamięci,wrazzdodatkowymidanymiwykorzystywanymiprzeztenkod.

•SegmentPT_DYNAMIC(2)–zawierainformacjedlaprogramuładującego(określanegoprzezdanesegmentuPT_INTERP),wymagane

dopoprawnegozaładowaniapliku.JegoistnieniedeﬁniujetypbudowyplikuELF;wprzypadkuistnieniategosegmentujesttoplik

„złączonydynamicznie”(ang.

dynamicallylinked

),wprzypadkubraku–plik„złączonystatycznie”(ang.

staticallylinked

Należyzwrócićuwagęnato,żekolejnośćsegmentówniezawszejestdowolna.DeﬁnicjetypuPT_PHDRlubPT_INTERPmusząznajdować

sięprzeddefinicjąPT_LOAD.Wynikatozesposobuładowaniaplikuprzezsystem.Możetosugerowaćinterpretacjęsegmentówjakoswego

rodzajusekwencjęinstrukcjidowykonania,którenależyzrealizowaćwokreślonejkolejności,abypoprawniezaładowaćplik.

Spośródwymienionychpowyżejsegmentów,PT_LOADiPT_DYNAMICzawierająnajczęściejodczytywaneinformacje,dlategoponiżej

znajdujesięichszerszyopis.

2.2.3.SegmentPT_LOAD

Graniceobszarów,któremająbyćzaładowanedopamięci,określanesąprzezdanezdeﬁniowanewsegmencietypuPT_LOAD.Program

ładującywykonapróbęalokacjipamięcipodadresemwyliczonymnapodstawiewartościzapisanejwpolup_vaddr.Wprzypadku

powodzeniadanezplikuELFspodadresup_offsetzostanąskopiowanedoświeżoprzydzielonegoregionupamięciizostanątam

ażdoczasupóźniejszejinicjalizacjiprogramu.

Otoprzykładwyświetlaniainformacjiosegmentachprzyużyciunarzędziareadelf(1):

Częstoprogramywykonywalne,zbudowanewstandardowysposób,majądwasegmentytypuPT_LOAD:pierwszyznichokreślaobszar

zawierającydanezkodemwykonywalnym,drugiokreśladanewykorzystywaneprzeztenkod.Charakterdanychwsegmenciemożna

ustalićzapomocąanalizyprawdostępuzpolap_flags,któreokreśla,jakieprawadostępuzostanąnadaneświeżoprzydzielonemu

obszarowipamięci.Jeśliprawadostępuumożliwiająwykonywaniekodu(ﬂagaE),jesttoznak,żesegmentmożezawieraćkodprogramu.

Zkolei,gdysegmentzawieraﬂagęumożliwiającązapisdopamięci(ﬂagaW),możetobyćznak,żesegmentzawieradaneprogramu,

którebędąmodyfikowanepodczasjegodziałania.

WpokazanympowyżejprzykładzieprzedstawionyjestplikELF,wktórymzadeklarowanozaładowaniedwóchsegmentów.Pierwszy

znichtosegmentładującytreśćplikuzobszaru0x0do0x1C10C,dopamięcipodadres0x400000.Pozaładowaniupamięcizostanie

nadaneprawodowykonaniakodu.Faktycznierozmiarcałegoobszarupamięcibędziewynosił0x1D000,ponieważrozmiarjestzawsze

wyrównywanydorozmiarustronypamięcizdeﬁniowanejprzezsystemoperacyjny.Drugisegmentzawieradeklaracjęalokacjidanychpod

adres0x61CE00.Faktycznieprzydzielonymadresembędzieadres0x61C000,takżezpowoduwyrównaniaadresudorozmiarustrony.

Popoprawnejalokacjidoadresu0x61CE00zostanieskopiowanatreśćplikuzadresu0x1CE00.Wypełnienie(od0x61C000do0x61CDFF)

poprzedzającealokowanyrejonpamięcizostanienadpisanedanymizpliku,zaczynającodoﬀsetu0x1C000.Obszarpamięcizostanie

oznaczonyjakoobszar,doktóregomożliwyjestzapis,aleniejestmożliwewykonaniezniegokodu.

Istniejąprzypadki,wktórychpolep_vaddrniezawierapreferowanegoadresudocelowego.Wtakichsytuacjachsystemdobieratenadres

automatycznie.TacechaspotykanajestnajczęściejwplikachELFoznaczonychtypemET_DYN.Tentyporyginalniezarezerwowanybyłdla

bibliotek,anieaplikacji,jednakzyskipłynącezlosowościnadaniaadresudocelowegosegmentuspowodowałytakżewykorzystanietej

technikiprzyzwykłychprogramach,wykonywanychbezpośrednio.JednąztechnikwykorzystującychtęcechęjestASLR(

AddressSpace

LayoutRandomization

[4]).

Możliwyjestteżprzypadek,gdyzdeﬁniowanywpolup_vaddradresniebędziemógłbyćzaalokowany(sytuacjajestanalogicznadotej,

gdyp_vaddrbędziezawierałowartość0x0).Jesttosytuacjaproblematyczna,ponieważkompilatorpodczasgenerowaniakodudeklaruje

pewienadresbazowy,podktórykodtenpowinienzostaćzaładowany.Jeślitenwarunekniezostaniespełniony,kodnienadajesię

dowykonania,ponieważwszystkiejegoreferencjedoswoichfunkcjiczyzmiennychsąnieprawidłowe;programładującyzmuszonyjest

skorzystaćwtedyzinformacjizawartychwsekcjach.rela.dynoraz.rela.pltwceluzmianypołożenia(ang.

relocation

,czyli

relokacji

)kodu

wykonywalnegopodinnyadres.Tylkopomodyﬁkacjikoduzgodniezinformacjamizawartymiwtablicachrelokacyjnychmożliwejest

wykonaniekoduzaładowanegopodinnyadresbazowyniżzadeklarowanypodczasprocesukompilacji.Problemtenniedotyczykodu,który

niezawieradeklaracjiżadnegoadresubazowego,określanegomianemPIC(

PositionIndependentCode

).Jegoodpornośćnatenproblem

jestgłównympowodemczęstegostosowaniagowplikachbinarnych,wktórychjestwykorzystanymechanizmASLR.

2.2.4.SegmentPT_DYNAMIC

Jesttospecjalnysegment,wskładktóregowchodząsekcjeodpowiedzialnezaprzechowywanieinformacjiołączeniudynamicznym.

Wchwiliobecnejstandarddeﬁniujetylkojednątakąsekcję:.dynamic.Zawieraonaistotnieinformacjewykorzystywaneprzezprogram

ładującywceluzaładowaniaprogramulubbibliotekiorazwszystkichbibliotekzależnych.Wprzypadkuplikówwykonywalnychzłączonych

statycznie,kompilatornieumieszczawnichinformacjiodynamicznymłączeniuiwtakichplikachniemaanisekcji.dynamic,ani

segmentuPT_DYNAMIC.

2.2.5.Sekcja.dynamic

Każdyprogram,któryniejestzbudowanystatycznie,zawierasekcjęonazwie.dynamic.Wprzypadkujejistnieniaprogramładującymusi

przejśćdodatkowyprocesinicjalizacjipolegającynazaładowaniukażdejbibliotekizależnejoraz–rekurencyjnie–każdejzależności

bibliotekzależnych.Jeśliładowaniejakiejśzależnościniepowiedziesię,procesładowaniacałegoprogramukończysiębłędem.Treśćsekcji

.dynamic,czylitabelęzinformacjamiołączeniudynamicznym,możnazobaczyćzapomocąprogramureadelf(1):

Brak wyników

Praktyczna inżynieria wsteczna

Treść książki

Znajdź bibliotekę blisko siebie, i uzyskaj dostęp do ebooka w systemie IBUK Libra