Szkolenie: Inżynieria odwrotna kodu w systemach Windows i Linux oraz metody zabezpieczania programów

Co może podlegać inżynierii wstecznej

Czym jest inżynieria odwrotna oprogramowania

Legalność inżynierii wstecznej

Jakie są etapy procesu reverse engineering?

Zastosowania reverse engineering: kompatybilność, wyszukiwanie błędów, analiza złośliwego kodu, łamanie zabezpieczeń, odzyskiwanie kodu źródłowego, modyfikacja i poprawianie oprogramowania (reengineering)

Działanie procesora

Instrukcje

Proste programy w asemblerze

Różnice pomiędzy platformami x86 a x86-64

Asemblery NASM i FASM

Kompilacja programów w assemblerze

Śledzenie programów z użyciem debuggera: x64dbg

Sztuczki „antydebug”: wykrywanie śledzenia i piaskownicy (sandbox)

Wykrywanie maszyn wirtualnych

Zaciemnianie znaczenia kodu asemblera (obfuskacja kodu)

Optymalizacja kodu kompilowanego

Wykrywanie modyfikacji i pułapek

Zabezpieczenia warstwowe i emulacja kodu

Użycie protektorów i pakerów

rekonstrukcja spakowanych plików

Zaciemnianie kodu w językach opartych o maszyny wirtualne, stworzenie modułu disassemblera i emulatora dla maszyny wirtualnej

Identyfikacja celu

Monitorowanie celu

Usunięcie utrudnień

Deasemblacja

Identyfikacja algorytmów i bloków budujących np. funkcji bibliotecznych

Dekompilacja i rekonstrukcja kodu źródłowego

Wykorzystanie instrumentacji i profilowania

Detekcja formatów pliku wykonywalnego

Detekcja pakerów i protektorów

Identyfikacja ciągów znaków, w tym ukrytych ścieżek

Narzędzia: PEiD, PEbear

Otwieranie plików i ścieżek rejestru

Komunikacja sieciowa

Narzędzia: Process Monitor (Regmon+Filemon)

Ręczne i automatyczne usuwanie pakerów i protektorów

Manualna rekonstrukcja plików wykonywalnych

Narzędzia: Scylla, OllyDumpEx

Techniki debugowania

Używanie debuggera

Narzędzia: x64dbg

Wykorzystanie w celu śledzenia pokrycia kodu i przeprowadzania obserwacji typu Side-Channel

Narzędzia: PIN Framework

Co to jest deasemblacja, trudności deasemblacji

Proces deasemblacji: IDA Pro i Ghidra

Identyfikacja funkcji bibliotecznych

Zastosowania skryptów IDC w IDA Pro

Skrypty w IDAPython

Debugger i emulator IDA Pro

Pliki natywne (.exe - PE i PE64)

Visual Basic i języki posługujące się bytecode (p-code)

Delphi i C++ Builder

Pliki natywne - ELF

Dedykowane narzędzia Linux: EDB, GDB+GEF, Radare

automatyzacja zadań w debuggerach z użyciem skryptów

Użycie dekompilatorów Java - JD

Zabezpieczanie i utrudnianie reverse engineeringu kodu Java

Użycie dekompilatorów - dnSpyEx

Zabezpieczanie i utrudnianie reverse engineeringu kodu .NET

Tablice metod wirtualnych

Mangling

Konstruktory i destruktory

Argumenty funkcji i metod

Zmienne i zmienne rejestrowe

Informacje symboliczne (symbole debugowania)

Przykłady dla Visual C++, GCC, Clang, Borland C/C++

Obserwacja symptomów działania

Identyfikacja przepływu danych

Wyodrębnianie bloków składowych

Metody identyfikacji: magiczne ciągi, sygnatury metod bibliotecznych, metody heurystyczne

Identyfikacja algorytmów kryptograficznych

Identyfikacja algorytmów z pomocą kodu źródłowego

Identyfikacja zmienionych części kodu za pomocą porównania plików (patch-diffing)

Wykorzystanie snifferów

Typowe zagadnienia spotykane w plikach: sygnatury, sumy kontrolne, kompresja

Użycie hexedytora, wzorców (Templates) i skryptów

Narzędzia: MultiExtractor, 010editor