Возможно ли реверснуть обфусцированную программу.

Тема в разделе "WASM.RESEARCH", создана пользователем neutronion, 31 мар 2010.

  1. kaspersky

    kaspersky New Member

    Публикаций:
    0
    Регистрация:
    18 май 2004
    Сообщения:
    3.006
    Stiver
    javascript deobfuscation origami в гугле.
     
  2. Stiver

    Stiver Партизан дзена

    Публикаций:
    0
    Регистрация:
    18 дек 2004
    Сообщения:
    812
    Адрес:
    Germany
    neutronion
    Требуются не новые инструменты, а новые алгоритмы - противостояние идет на математическом и алгоритмическом уровне. Новый алгоритм может придумать кто угодно, в теории по крайней мере.
     
  3. Stiver

    Stiver Партизан дзена

    Публикаций:
    0
    Регистрация:
    18 дек 2004
    Сообщения:
    812
    Адрес:
    Germany
    kaspersky
    Угу, пробовал :) находит только "Origami is a Ruby framework designed to parse, analyze, and forge PDF documents" - явно не то.
     
  4. neutronion

    neutronion New Member

    Публикаций:
    0
    Регистрация:
    31 мар 2010
    Сообщения:
    1.100
    2Kris
    надеюсь правительство наше. Хотя что подразумевать по словом наше :)
    А то у нас в стране похоже к талантам нетолерантное отношение, пример Гриша Перельман. Зачморили гения в свое время, теперь
    он прячется в квартире, боится даже премию получить.
    Крис, если не трудно скажите в каких изданиях теперь публикуетесь и под каким ником, если это конечно не секрет.
    У меня почти все ваши книги куплены, одну в инете на торренте скоммуниздил, каюсь.
     
  5. kaspersky

    kaspersky New Member

    Публикаций:
    0
    Регистрация:
    18 май 2004
    Сообщения:
    3.006
    neutronion
    > надеюсь правительство наше.
    это я фигурально выразился. работаю на McAfee, в непосредственной близости от вашингтона. люди из правительства наши частые гости. чайку попить, косяк забить, какую-то новую фичу в программном комплексе обсудить.

    > Хотя что подразумевать по словом наше :)
    вот именно ;)

    > А то у нас в стране похоже к талантам нетолерантное отношение,
    мыщъх к талантам никакого отношения не имеет. обычный инженер каких много.

    > Крис, если не трудно скажите в каких изданиях теперь публикуетесь
    пока не публикуюсь. в планах публикация на блоге компании, ну или на своем. книжку начну писать вместе с алиской на пару когда окончательно перееду в штаты. писать будет она. у нее на это дар. она очень хороший писатель. ну а мое дело - техническая инфа. что получится из нашего тандема - увидим. может быть, что то и получится.

    > и под каким ником, если это конечно не секрет.
    ник тот же самый.

    > У меня почти все ваши книги куплены, одну в инете на торренте скоммуниздил, каюсь.
    а я все равно отчислений не получаю с продаж уже давно. но даже когда их получал всегда был за свободное распростанение инфы. так что читайте на здоровье. мне очень приятно, что мои книжки до сих пор качают.
     
  6. crypto

    crypto Active Member

    Публикаций:
    0
    Регистрация:
    13 дек 2005
    Сообщения:
    2.533
    kaspersky
    Извиняюсь за оффтоп. Крис, у тебя личка переполнена, сообщения не отправляются...
     
  7. neutronion

    neutronion New Member

    Публикаций:
    0
    Регистрация:
    31 мар 2010
    Сообщения:
    1.100
    Можно воспользоваться моментом, Крис. Можно узнать, что в себя включает работа вирусного аналитика. Я так понимаю вы сейчас
    в этой сфере вращаетесь? Я задам этот вопрос в разделе Virusology, если вы не против. Только пару строк, я понимаю вашу загруженность
    и обещаю больше ничего спрашивать не буду. (некоторое время :))
     
  8. Asterix

    Asterix New Member

    Публикаций:
    0
    Регистрация:
    25 фев 2003
    Сообщения:
    3.576
    хорошая реклама :)

    скажу банальность, реверснуть можно все что угодно, что поддается обратному
    преобразованию, все зависит от наличия времени и средств
     
  9. kaspersky

    kaspersky New Member

    Публикаций:
    0
    Регистрация:
    18 май 2004
    Сообщения:
    3.006
    Asterix
    > скажу банальность, реверснуть можно все что угодно,
    > что поддается обратному преобразованию, все зависит
    > от наличия времени и средств
    _любая_ реверс задача имеет свой лимит времени. в некоторых случаях программу можно трезать и год, а в некоторых на анализ отпущены считанные часы, после чего результат реверса становится неактуальным.

    реверс параллелиться плохо между участниками (зависит от программы конечно), а потому обфускация это действительно проблема. не термоядерный взрыв и ядерная зима с дохлыми тушками хакеров, но не и "в багдаде все спокойно".

    crypto
    > Извиняюсь за оффтоп. Крис, у тебя личка переполнена, сообщения не отправляются...
    подчистил


    neutronion
    > Можно воспользоваться моментом, Крис. Можно узнать,
    > что в себя включает работа вирусного аналитика.
    хз. я реверс инженер де-юре и девелопер де-факто. малварь, конечно, анализирую пачками, но главным образом PDF, JS сплоиты и прочие шелл-коды.

    > Я так понимаю вы сейчас в этой сфере вращаетесь?
    не совсем, но очень близко. и все дальше от нее отклоняюсь. сейчас уже залез в область создания языка регулярных выражений заточенных под нужды нашего тима, а там же его имплемаентации, что заставляет абстрагиваться от вирусов и вообще малвари.

    > Я задам этот вопрос в разделе Virusology, если вы не против.
    да я не против и всегда открыт для общения
     
  10. tex32

    tex32 New Member

    Публикаций:
    0
    Регистрация:
    24 окт 2009
    Сообщения:
    202
    Согласен.

    Опять согласен.

    Одним словом, разбили все мои тезисы о проблеме.
     
  11. seniour_juggler

    seniour_juggler Member

    Публикаций:
    0
    Регистрация:
    27 дек 2009
    Сообщения:
    35
    kaspersky
    Если иметь на руках только запутанный код, то понятно, что хрен разберешь. Есть исходная программа M, а O(M) после того, как по ней прошлись обфускатором. O - функция преобразования из, скажем, x86 в код какого-то хитрого процессора. Пусть будет только NAND ну или brainfuck какой-нить. add eax, ebx сколькими способами преобразуется в код такого виртуального процессора? Если бы функция O генерировалась бы автоматически (нетривиально!) для каждого случая защиты, то клево, но как-то нежизненно :) На практике O извлекается либо непосредственно из тела прота - либо подсовыванием ему семплов, состоящих из одной инструкции. Пока доказанно стойкой обфускации в плане черного ящика не существует, а один замечательный израильский товарищ вообще доказал, что она невозможна. http://www.wisdom.weizmann.ac.il/~oded/PS/boaz-phd.ps Правда, там такое доказательство... Читая этот дисер, начинаешь понимать, что обфускация существует :) В такое обилие крякозябов обернуть простые мысли уметь надо. Да и доказательство само по себе достаточно скользкое, имхо.
    кто ж спорит?
     
  12. GoldFinch

    GoldFinch New Member

    Публикаций:
    0
    Регистрация:
    29 мар 2008
    Сообщения:
    1.775
    бесконечным числом способов, т.к. преобразуется вся программа, а не ее конкретные инструкции,
    и конкретное преобразование зависит от контекста в котором эта инструкция находится
     
  13. destrator

    destrator New Member

    Публикаций:
    0
    Регистрация:
    20 мар 2010
    Сообщения:
    16
    Что-то сомнительно, что в ближайшем будущем мы увидим полную обфускацию нативных программ. Это настолько просаживает производительность, что для некоторый областей, где скорость - одно из основных требований, просто неприменимо.
     
  14. Z3N

    Z3N New Member

    Публикаций:
    0
    Регистрация:
    10 фев 2009
    Сообщения:
    812
    kaspersky насчёт поста #18
    Я бы вам поверил, если бы не считал вас паникёрам.
    Вы с завидной периодичностью предвещаете конец "света". А он всё не приходит и не приходит.

    Каково это, Крис, чувствовать запах своего разлагающегося тела?

    Всё же не думаю, что если на вашем ноуте накрыть защитой с сетями петри, то он будет резво бегать. Вы попробуйте создать хотя бы 20 копий этой программы и посмотрите на скорость.

    Радиолюбительство убили телевизор и комп. Что может убить комп - ума не приложу эти и телевизор и телефон и т.д. и тп..

    Ага, будет делать вселенскую гармонию, а плюкан и чатлан превращать в кактусы и садить в оранжереях.

    А где вы это слышали?
     
  15. Z3N

    Z3N New Member

    Публикаций:
    0
    Регистрация:
    10 фев 2009
    Сообщения:
    812
    * всёнакрыть защитой
     
  16. ahi-2

    ahi-2 New Member

    Публикаций:
    0
    Регистрация:
    30 авг 2006
    Сообщения:
    6
    У меня один из заказов был на убирание тормозов созданных обсфукатором. При том что софтописатели вполне могли не выеживаться и вделать внутрь тормоз за счет асимметричной скорости расшифровки.
     
  17. skomarov

    skomarov New Member

    Публикаций:
    0
    Регистрация:
    14 май 2008
    Сообщения:
    389
    kaspersky
    А существует ссылка на этот тест? (интересно посмотреть на код)
     
  18. kazbek

    kazbek New Member

    Публикаций:
    0
    Регистрация:
    21 авг 2010
    Сообщения:
    4
    Если очень хочется то можно все:) Вот пример снятия обфускации с Radmin сервера 3.2.
    http://ifolder.ru/19605776

    исправил пару байтиков теперь сервер работает нормально.