Asm Usage

Aplicat, ii practice ale limbajului de asamblare
Arhitectura Sistemelor de Calcul
Ciprian Opris, a, PhD
Bitdefender
21 decembrie 2016
Cuprins
1 Introducere
2 Fragmente de limbaj de asamblare ı̂n C
3 Inginerie inversă
4 Înt, elegerea exploit-urilor
5 Detect, ie de malware prin dezasamblare
6 MBR s, i hipervizor
Ciprian Opris, a (Bitdefender) Aplicat, ii practice ale limbajului de asamblare 21 decembrie 2016 2 / 29
1. Introducere
Cuprins
1 Introducere
1. Introducere
De la cod la binar
1. Introducere
De la cod la binar
← cod C
cod binar →
1. Introducere
De la cod la binar
← cod C
cod binar →
1. Introducere
Limbajul de asamblare s, i codul binar
Important
Calculatoarele ı̂nt, eleg doar codul binar.
Limbajul de asamblare este o formă inteligibilă de cod binar.

Limbajul de asamblare poate fi translatat direct ı̂n binar s, i
invers.
1. Introducere
Limbajul de asamblare s, i codul binar
Important
Calculatoarele ı̂nt, eleg doar codul binar.
Limbajul de asamblare este o formă inteligibilă de cod binar.

Limbajul de asamblare poate fi translatat direct ı̂n binar s, i
invers.
Limbaje compilate vs. interpretate:
Un limbaj compilat (C, C++, Pascal, Rust) este translatat ı̂n
Assembly / cod binar.
Un limbaj interpretat (Java, Python, C#) necesită un interpretor
care este de asemenea binar.
2. Fragmente de limbaj de asamblare ı̂n C
Cuprins
1 Introducere
Fragmente de limbaj de asamblare ı̂n C
3. Inginerie inversă
Cuprins
1 Introducere
Inginerie inversă
Definit, ie
Analiza unui program pentru a se ı̂nt, elege ce face s, i cum
funct, ionează.
analiză statică - analiza codului

analiză dinamică - analiza comportamentului programului
Analiza statică
Problemă: Programele binare nu au un cod sursă de analizat.
Analiza statică
Să ne amintim: “Assembly poate fi translatat direct ı̂n binar s, i invers”.
Analiza statică
Să ne amintim: “Assembly poate fi translatat direct ı̂n binar s, i invers”.
Unealtă de analiză: IDA Pro
Analiza dinamică
Depanare:
rularea instruct, iunilor Assembly pas cu pas (demo)
Analiza dinamică
Depanare:
Interceptarea funct, iilor:
Analiza dinamică
Depanare:
Analiza dinamică
Depanare:
se ı̂nlocuies, te cu:
jmp interception
Analiza dinamică
Depanare:
jmp interception
interception:
push ebp
mov ebp, esp
... cod de logare ...
Analiza dinamică
Depanare:
jmp interception
interception:
push ebp
mov ebp, esp
... cod de logare ...
jmp fn+5
4. Înt, elegerea exploit-urilor
Cuprins
1 Introducere
O privire mai atentă la cadrele de stivă
very old EBP

...
&s
very old EBP
...
ret addr
&s
very old EBP
...
old EBP
ret addr
&s
very old EBP
...
myCopy
old EBP
ret addr
&s
very old EBP
...
myCopy
old EBP
ret addr
&s
very old EBP
...
Ce se ı̂ntâmplă dacă trimitem un string de 16 octet, i?

Exploit-uri de tip buffer overflow
un buffer overflow poate fi folosit ca să se suprascrie adresa de

revenire de pe stivă
o valoare aleatoare probabil va face programul să crape

...dar putem face mai mult de atât

putem să rulăm cod arbitrar prin schimbarea adresei de revenire
ca să pointeze spre el

putem să rulăm cod arbitrar prin schimbarea adresei de revenire
ca să pointeze spre el
Problemă: Data Execution Prevention
un program care rulează ı̂mpreună cu

bibliotecile sale cont, ine multe funct, ii
fiecare funct, ie se termină cu o
instruct, iune ret
Definit, ie
Un grup de instruct, iuni terminat cu ret
se numes, te un gadget.
Stiva: Gadget 1
un program care rulează ı̂mpreună cu Gadget 2

fiecare funct, ie se termină cu o Gadget 3
instruct, iune ret
Gadget 4
Definit, ie
se numes, te un gadget. Gadget 5
Putem scrie programe utile prin ı̂nlănt, uire

de gadget-uri.
Stiva: Gadget 1

instruct, iune ret
Gadget 4
Definit, ie

de gadget-uri.
Stiva: Gadget 1

instruct, iune ret
Gadget 4
Definit, ie

de gadget-uri.
Stiva: Gadget 1

instruct, iune ret
Gadget 4
Definit, ie

de gadget-uri.
Stiva: Gadget 1

instruct, iune ret
Gadget 4
Definit, ie

de gadget-uri.
Stiva: Gadget 1

instruct, iune ret
Gadget 4
Definit, ie

de gadget-uri.
Stiva: Gadget 1

instruct, iune ret
Gadget 4
Definit, ie

de gadget-uri.
5. Detect, ie de malware prin dezasamblare
Cuprins
1 Introducere
Mecanismul de detect, ie tradit, ional
| {z }
↓
Hash(-uri)
↓?
Bază de date cu malware
. &
Calculul funct, iilor de hash
calculul funct, iilor de

hash necesită multe
operat, ii pe bit, i
mai us, or de făcut ı̂n
hardware decât ı̂n
software
limbajul de asamblare
de la Intel x86 pune la
dispozit, ie astfel de
instruct, iunea SHA1MSG2
operat, ii
figură de pe https://software.intel.com
Folosirea de n-grame din OpCode-uri
| {z }
↓
| {z }
↓
→ push, mov, sub, mov, push, lea, push, call, mov, . . .
→ pmsmplpcmlpctjczczczmJ
| {z }
↓
→ pmsmplpc mlpctjczczczmJ
<pmsmplpc>
| {z }
↓
→ p msmplpcm lpctjczczczmJ
<pmsmplpc>, <msmplpcm>
| {z }
↓
→ pm smplpcml pctjczczczmJ
<pmsmplpc>, <msmplpcm>, <smplpcml>
| {z }
↓
→ pms mplpcmlp ctjczczczmJ

<pmsmplpc>, <msmplpcm>, <smplpcml>, <mplpcmlp>
| {z }
↓
→ pmsm plpcmlpc tjczczczmJ

<pmsmplpc>, <msmplpcm>, <smplpcml>, <mplpcmlp>, <plpcmlpc>
| {z }
↓
<pmsmplpc>, <msmplpcm>, <smplpcml>, <mplpcmlp>, <plpcmlpc>, . . .
| {z }
↓
<pmsmplpc>, <msmplpcm>, <smplpcml>, <mplpcmlp>, <plpcmlpc>, . . .
↓?
Bază de date cu malware
. &
Similaritatea codului
Compilatorul nu ia ı̂n considerare:

comentariile s, i indentarea
numele de variabile s, i parantezele redundante
cod C similar → cod ASM similar → n-grame similare
Similaritatea codului
Compilatorul nu ia ı̂n considerare:

comentariile s, i indentarea
numele de variabile s, i parantezele redundante
cod C similar → cod ASM similar → n-grame similare
Definit, ie
Similaritatea Jaccard:
|A ∩ B|
sim(A, B) =
|A ∪ B|
Emularea codului
Cum se pot deduce ı̂n mod automat efectele unui program fără a se
rula efectiv?
crearea unui mediu virtual minimalist
dezasamblarea fiecărei instruct, iuni
emularea sa ı̂n interiorul mediului virtual
Un emulator trebuie să t, ină evident, a la

regis, tri
memorie
mediul emulat
6. MBR s, i hipervizor
Cuprins
1 Introducere
Conceptul de bootstrap
Ce se ı̂ntâmplă atunci când un
calculator pornes, te?
Cum poate un sistem de operare să
se pornească singur?
se “trage singur ı̂n sus de curelele
cizmelor”
se “trage singur ı̂n sus de curelele
cizmelor”
atunci când e pornit, procesorul

ı̂ncepe execut, ia codului de la adresa
FFFF:0000, unde e localizat codul
de BIOS
apoi BIOS-ul ı̂ncepe să caute
sectoare de boot
Sectorul de boot
are 512 octet, i

se termină cu 0xAA55
se va ı̂ncărca la adresa
0000:7C00
are acces la ı̂ntreruperile
BIOS
6. MBR s, i hipervizor Hello world din sectorul de boot
Hipervizorul
cu un pas mai aproape de hardware

suntem pe cont propriu (nici un API,
fără management)
vedem totul
Ciclul de viat, ă al unui hipervizor
VMXON
VMXON VMXOFF
VM Exit
VM Entry
VMXON VMXOFF
VM Exit
VM Entry VM Entry
VMXON VMXOFF
Fragmente de cod hipervizor ı̂n Assembly

Găsirea adresei curente de
memorie:

memorie:
Scriere de cod independent de

pozit, ie:

memorie:

pozit, ie:
Setarea tabelelor IDT s, i GDT:

memorie:
Trecerea de la 32 la 64 bit:

pozit, ie:
Setarea tabelelor IDT s, i GDT:
Vă mult, umesc pentru atent, ie!

Asm Usage

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Asm Usage

Încărcat de

Drepturi de autor:

Formate disponibile

Aplicat, ii practice ale limbajului de asamblare

Arhitectura Sistemelor de Calcul

Ciprian Opris, a, PhD

2 Fragmente de limbaj de asamblare ı̂n C

4 Înt, elegerea exploit-urilor

5 Detect, ie de malware prin dezasamblare

2 Fragmente de limbaj de asamblare ı̂n C

4 Înt, elegerea exploit-urilor

5 Detect, ie de malware prin dezasamblare

Limbajul de asamblare s, i codul binar

Limbajul de asamblare este o formă inteligibilă de cod binar.

Limbajul de asamblare s, i codul binar

Limbajul de asamblare este o formă inteligibilă de cod binar.

2 Fragmente de limbaj de asamblare ı̂n C

4 Înt, elegerea exploit-urilor

5 Detect, ie de malware prin dezasamblare

Fragmente de limbaj de asamblare ı̂n C

Fragmente de limbaj de asamblare ı̂n C

Fragmente de limbaj de asamblare ı̂n C

Fragmente de limbaj de asamblare ı̂n C

Fragmente de limbaj de asamblare ı̂n C

Fragmente de limbaj de asamblare ı̂n C

Fragmente de limbaj de asamblare ı̂n C

2 Fragmente de limbaj de asamblare ı̂n C

4 Înt, elegerea exploit-urilor

5 Detect, ie de malware prin dezasamblare

analiză statică - analiza codului

2 Fragmente de limbaj de asamblare ı̂n C

4 Înt, elegerea exploit-urilor

5 Detect, ie de malware prin dezasamblare

O privire mai atentă la cadrele de stivă

O privire mai atentă la cadrele de stivă

O privire mai atentă la cadrele de stivă

very old EBP

O privire mai atentă la cadrele de stivă

O privire mai atentă la cadrele de stivă

O privire mai atentă la cadrele de stivă

O privire mai atentă la cadrele de stivă

O privire mai atentă la cadrele de stivă

Ce se ı̂ntâmplă dacă trimitem un string de 16 octet, i?

Exploit-uri de tip buffer overflow

un buffer overflow poate fi folosit ca să se suprascrie adresa de

Exploit-uri de tip buffer overflow

un buffer overflow poate fi folosit ca să se suprascrie adresa de

Exploit-uri de tip buffer overflow

un buffer overflow poate fi folosit ca să se suprascrie adresa de

Exploit-uri de tip buffer overflow

un buffer overflow poate fi folosit ca să se suprascrie adresa de

Problemă: Data Execution Prevention

un program care rulează ı̂mpreună cu

un program care rulează ı̂mpreună cu Gadget 2

Putem scrie programe utile prin ı̂nlănt, uire

un program care rulează ı̂mpreună cu Gadget 2

Putem scrie programe utile prin ı̂nlănt, uire

un program care rulează ı̂mpreună cu Gadget 2

Putem scrie programe utile prin ı̂nlănt, uire

un program care rulează ı̂mpreună cu Gadget 2

Putem scrie programe utile prin ı̂nlănt, uire

un program care rulează ı̂mpreună cu Gadget 2

Putem scrie programe utile prin ı̂nlănt, uire

un program care rulează ı̂mpreună cu Gadget 2

Putem scrie programe utile prin ı̂nlănt, uire

un program care rulează ı̂mpreună cu Gadget 2