L’obfuscation contournée (Partie 2)

Magazine
Marque
MISC
Numéro
42
Mois de parution
mars 2009
Domaines


Résumé

Dans l’article précédent [1], nous avons vu, d’un point de vue théorique, qu’il était possible de retrouver le code d’origine d’un programme simple protégé par un système d’obfuscation sans jamais analyser ce dernier.En effet, à l’aide d’un émulateur qui nous permet une approche dynamique, nous avions porté une attaque en deux temps :Tout d’abord, nous avions réalisé une analyse différentielle statistique élémentaire sur l’ensemble de la trajectoire [L1] pour dégager des instructions « intéressantes » appelées « program points » [L4].Ensuite, à partir de ces program points obtenus, nous avions réalisé une analyse locale en générant des slices [L5] par backward slicing. En supprimant les instructions de transfert, nous avions obtenu sur le binaire proposé par Craig Smith au recon2008 l’algorithme de vérification du « Serial » en quelques minutes.Dans cet article, nous allons prolonger une partie de ce travail en regardant ce qui se passe sur des protections plus robustes.


1. Introduction

Les deux cibles sur lesquelles je vais m’appuyer ici pour étayer mes propos usent de systèmes de défense d’une qualité que l’on peut qualifier de « professionnelle », c'est-à-dire qu’ils sont d’un niveau suffisant pour être utilisés dans des protections commercialisées.

À la différence du cas d’école proposé par Craig Smith, les deux programmes que nous allons étudier sont partiellement résistants à notre attaque. Plus précisément, ils offrent tous les deux suffisamment de matière pour dérouter la phase 2 de notre offensive : l’analyse locale par slicing. Vous vous demandez déjà, à juste titre, ce qu’il en est de la phase 1 (l’analyse statistique). Nous verrons que ces cibles, aussi résistantes soient-elles, cèdent facilement face à ce genre d’attaque.

2. Slices « complexes »

Dans toutes les attaques menées ici, les slices générés sont toujours des émanations exécutables de la trajectoire étudiée....

Cet article est réservé aux abonnés. Il vous reste 97% à découvrir.
à partir de 21,65€ HT/mois/lecteur pour un accès 5 lecteurs à toute la plateforme
J'en profite


Articles qui pourraient vous intéresser...

Introduction aux TPM (Trusted Platform Modules)

Magazine
Marque
MISC
HS n°
Numéro
22
Mois de parution
octobre 2020
Domaines
Résumé

Les TPM (Trusted Platform Modules), brique de base du Trusted Computing, ont été imaginés il y a une vingtaine d’années, et pourtant ils ne sont pas très utilisés malgré leurs réelles qualités. Comment expliquer cela ? Cet article tend à fournir de premiers éléments de réponse.

Conservez l’historique de vos commandes pour chaque projet, le retour

Magazine
Marque
GNU/Linux Magazine
Numéro
241
Mois de parution
octobre 2020
Domaines
Résumé

Pouvoir conserver un historique dédié pour chaque projet, voici l’idée géniale énoncée par Tristan Colombo dans un précédent article de GLMF [1]. Cet article reprend ce concept génial (je l’ai déjà dit?) et l’étoffe en simplifiant son installation et en ajoutant quelques fonctionnalités (comme l’autodétection de projets versionnés pour proposer à l’utilisateur d’activer un historique dédié, si ce n’est pas le cas).

Identification automatique de signaux grâce à la fonction d’autocorrélation

Magazine
Marque
MISC
HS n°
Numéro
22
Mois de parution
octobre 2020
Domaines
Résumé

Vous connaissiez la chasse au trésor… Initiez-vous maintenant à la chasse au signal (signal hunting en anglais). La chasse au signal consiste à rechercher les signaux qui nous entourent dans l’espace invisible du spectre électromagnétique. Mais plus besoin de rester l’oreille collée sur un haut-parleur à tourner le bouton pour régler la fréquence. La SDR (Software Defined Radio) a révolutionné tout cela : une radio numérique et un PC est vous voilà armé pour découvrir ce monde que les professionnels dénomment le SIGINT (SIGnal INTelligence).

Avec le Spanning Tree Protocol, suis-je en sécurité dans mon réseau ?

Magazine
Marque
MISC
HS n°
Numéro
22
Mois de parution
octobre 2020
Domaines
Résumé

Dans le cadre des hors-séries sur les retours aux fondamentaux, cet article aura comme sujet le protocole STP (Spanning Tree Protocol). Inventé en 1985 par Radia Perlman, il permet principalement d’assurer une liaison réseau redondante et sans boucle. Ce protocole étant primordial au sein d’un réseau de moyenne à grande envergure, s’il n’est pas correctement configuré, cela pourra alors permettre à des attaquants de compromettre le réseau.