Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Reverse 0x1@HackerSir 10th

YJK
August 31, 2024
0
2

Reverse 0x1@HackerSir 10th

YJK

August 31, 2024
Tweet

More Decks by YJK

See All by YJK
你 PWN 不動我@HackerSir 10th
yjk0805
0
2
Reverse 0x2@HackerSir 10th
yjk0805
0
2
不要亂 PWN 我@HackerSir 10th
yjk0805
0
5
Assembly@HackerSir 10th
yjk0805
0
2

Featured

See All Featured
5 minutes of I Can Smell Your CMS
philhawksworth
202
19k
Visualization
eitanlees
144
15k
10 Git Anti Patterns You Should be Aware of
lemiorhan
654
59k
What’s in a name? Adding method to the madness
productmarketing
PRO
22
3.1k
How GitHub (no longer) Works
holman
311
140k
Building Your Own Lightsaber
phodgson
102
6k
Rebuilding a faster, lazier Slack
samanthasiow
79
8.6k
[RailsConf 2023] Rails as a piece of cake
palkan
51
4.9k
A designer walks into a library…
pauljervisheath
202
24k
GraphQLとの向き合い方2022年版
quramy
43
13k
Distributed Sagas: A Protocol for Coordinating Microservices
caitiem20
328
21k
Fight the Zombie Pattern Library - RWD Summit 2016
marcelosomers
231
17k

Transcript

  1. Reverse Basic YJK @ HackerSir 12/06

  2. What is Reverse Engineering Outline 01 04 02 03 Before

    Reverse How to Prevent How to Analysis 05 Analysis Tool

  3. Before Reverse

  4. 前置知識 • 基礎 C/C++ 語法 (迴圈、陣列、指標…) • 一點點演算法知識 • 基礎組合語言

  5. What is Reverse Engineering

  6. What is Reverse Engineering • 逆向工程 • 在沒有原始碼的時候分析程式行為 • PWN

    (Binary Exploitation) 的基礎

  7. Why Reverse Engineering • 惡意程式分析 (ex: WannaCry) • 軟體分析 (ex:

    TikTok) • 開發插件 • 挖掘漏洞 • 遊戲外掛 • 盜版軟體 • Keygen

  8. How to Prevent

  9. How to prevent • 加密 • 加殼 • 誤導 •

    混淆程式碼 • 提高更新頻率

  10. 加殼 • 壓縮殼 • 將 code 壓縮 • 要執行時才解壓縮並執行 •

    UPX

  11. 加殼 • VM 殼 • 實作一台 VM (Virtual Machine) •

    將原始程式變成給 VM 跑的程式 • 逆完整個 VM

  12. 查殼 • DIE (Detect it easy) • 查脫殼工具或自己脫殼

  13. 混淆程式碼 • 指令替換 • 程式碼邏輯混淆 • 偽造控制流程 • OLLVM

  14. 混淆程式碼 • Demo: CGGC - ollvmvm

  15. How to Reverse

  16. How to Reverse source

  17. How to Reverse Static Analysis Dynamic Analysis • 不執行程式 •

    Decompile 執行檔分析資訊 • 分析各函式及程式碼 • 執行程式並觀察程式行為 • 觀察執行程式可能改變的值 • 記憶體、變數、底層資訊

  18. Static Analysis Tool

  19. Static Analysis Tool & Command objdump • disassemble 執行檔 •

    顯示 object file 資訊 readelf • ELF 檔的資訊 • headers、segments… ltrace • 追蹤使用函式庫 strace • 追蹤 system call 和 signal strings • 列出檔案中所有可視字元 file • 查看檔案類型

  20. Static Analysis Tool IDA Pro • 非常貴 • 很強大 •

    IDA Free Ghidra • Java • 開源 • NSA 開發 Radare2 • 開源 • CLI • Cutter (GUI) binary ninja • 比 IDA Free 可以逆更多檔案 • cloud version dnSpy • .NET 架構 Apktool • .apk Bytecode-Viewer • .class

  21. Static Analysis

  22. Static Analysis • 靜態分析 • 注重 code review • 瞭解程式執行過程

    • 看懂自己不一定熟悉的語言執行過程

  23. Static Analysis • 嘗試解讀以下程式

  24. objdump • Disassemble (反組譯)執行檔 • sudo apt install binutils •

    objdump <option(s)> <file(s)> • Ex: objdump –M intel –d a.out

  25. objdump • objdump –M intel –d a.out • -M, --disassembler-options=OPT

    • 自定義反組譯,例如自訂語法

  26. objdump • objdump –M intel –d a.out • -d, --disassemble

    • 指定檔案路徑

  27. objdump • objdump –M intel –d a.out • 反組譯 a.out

    並以 intel 格式輸出

  28. Disassemble vs Decompile Disassemble • 反組譯 • 執行檔 -> assembly

    Decompile • 反組譯 • 執行檔 -> source code

  29. ltrace • 跟蹤程式使用的函數 • sudo apt install ltrace • ltrace

    ./a.out

  30. strace • 追蹤 system call 和 signal • sudo apt

    install strace • strace ./a.out

  31. strings • 列出檔案中所有可視字元 • 常搭配 grep 使用 • sudo apt

    install binutils • strings [option(s)] [file(s)] • ex: strings a.out

  32. strings • 列出檔案中所有可視字元 • 常搭配 grep 使用 • sudo apt

    install binutils • strings [option(s)] [file(s)] • ex: strings a.out | grep "HackerSir"

  33. file • 查看檔案類型 • file [OPTION...] [FILE...] • ex: file

    a.out

  34. C++ name mangling • name decoration • 解決不能使用跟 C library

    一樣函數名稱 (參數或型態不同) • 編譯器區分不同同名函式,必須對符號修改 • C++ 加入 namespace 解決

  35. C++ name mangling rule • g++ 規則 • 都由 "_Z"

    開頭 • 巢狀名稱會在 "_Z" 後面加上 "N“ • 接著為字串長度 + 名稱 • 最後面加上 "E" (巢狀才加) 再加上 data type • ex: N::func(int, int) -> _ZN1N4funcEii

  36. c++filt • demangling 可以使用 c++filt • sudo apt install binutils

    • c++filt [options] [mangled names] • ex: c++filt _Z4funcdd

  37. Practice • basic command • C++ mangle

  38. IDA

  39. IDA • 曼特農夫人 • 今天用的是 free 版 • Pro 版是很強大的逆向工具

    • 反組譯成 asm • 反編譯成 C 語言

  40. How to use IDA • 選取要 decompile 的檔案 • 按下鍵盤上的

    F5 • 神奇的事情發生了

  41. IDA - Strings • 功能跟 strings command 相同 • 按下

    shift + F12

  42. IDA - XREF • Cross Reference • 查看 function 被呼叫的地⽅

  43. IDA - XREF • Cross Reference • 查看 function 被呼叫的地⽅

    • 選取欲查看之 function • 按下 x 或按右鍵選取 Jump to xref

  44. IDA - 修改變數名稱 • 選許要修改的變數 • 按下 n 或是按下滑鼠右鍵選取 rename

    lvar

  45. IDA - 型態轉換 • 鼠標停在數字或變數上會發現它的型態 • 數字也可能是字元

  46. IDA - 型態轉換 • 鼠標停在數字或變數上會發現它的型態 • 數字也可能是字元 • 對要轉換的目標值按右鍵 •

    選取想要顯示的型態

  47. IDA - 誤判解決 • IDA 可能會誤判 function 回傳型態、參數,可以自行修改

  48. IDA - 誤判解決 • IDA 可能會誤判 function 回傳型態、參數,可以自行修改 • 選取要修改的

    function • 按下 y 或是滑鼠右鍵選取 set item type

  49. Practice • IDAbasic

  50. 解題流程

  51. How to solve a problem • 先用 file command 確認檔案類型

    • 選定 decompile 軟體 • Code review • 將變數更改成可讀性高的名稱

  52. Get Flag • 執行程式依照逆向結果熟知流程拿到 Flag • 直接發現有後門拿到 Flag • 直接發現靜態分析可以拿到產出

    Flag 的規則

  53. Practice • Game • FlagGenerater

  54. Next • Dynamic Analysis • 更多 Reverse Engineering 的技巧 &

    工具
  55. None