Evasion techniquesMade with to serve the community by Check Point Research | Research blog | About Us | © 1994-2024 Check Point Software Technologies LTD | All rights reserved | Property of CheckPoint.com
Triton: A dynamic binary analysis library
About Triton is a dynamic binary analysis library. It provides internal components that allow you to build your program analysis tools, automate reverse engineering, perform software verification or just emulate code. Dynamic symbolic execution Dynamic taint analysis AST representation of the x86, x86-64, ARM32 and AArch64 ISA semantic Expressions synthesis SMT simplification passes Lifting to LLV
CTF/Toolkit/z3py - 電気通信大学MMA
インストール Z3のGithubページからgit cloneしてビルド・インストールする. z3pyは /usr/lib/python2.7/dist-packages 以下に同時にインストールされる. 基本的な流れ 1 # モジュールをimport 2 from z3 import * 3 4 # 変数を作成.引数は人間が見てわかりやすい変数名. 5 p, q = Bools(["p", "q"]) 6 x = Int("x") 7 8 # ソルバのインスタンスを生成して 9 s = Solver() 10 11 # 制約を追加 12 s.add(q == True, p != q) 13 s.add(x * x - x == 2) 14 15 # 解を探索,モデルを取得 16 r = s.check() 17 if r == sat: 18 m = s.model() 19 else:
悪意あるPDF(malicious PDF)に含まれる Exploit コードを pdf-parser.py で確認する - 思い立ったら書く日記
Adobe Reader の脆弱性(CVE-2009-4324)が 0day 状態なわけですが、この脆弱性を悪用した PDF が出回っている模様です。ありがたいこと(?)にこれらの PDF をブログ(contagio)で公開している方がいらっしゃいます。ブログ contagio から悪意ある PDF をダウンロードして*1、その PDF に含まれる Exploit コードを確認しようとしました。しかし、先の日記で使用した PDF Toolkit、pdftk ではエラーが発生し、Exploit コードを確認できませんでした。pdftk に代わり、pdf-parser.py を使ってみたところ、うまく確認できました。備忘録もかねて pdf-parser.py を使用した Exploit コード確認の過程をまとめてみます。 確認対象とする PDF は、"Outline of interview.
Endpoint Protection - Symantec Enterprise
by Nicolas Falliere This paper classifies and presents several anti-debugging techniques used on Windows NT-based operating systems. Anti-debugging techniques are ways for a program to detect if it runs under control of a debugger. They are used by commercial executable protectors, packers and malicious software, to prevent or slow-down the process of reverse-engineering. We'll suppose the program
Nothing But Programming - SEH
SEH (Stractured Exception Handling) ここではWindowsのSEHに関する技術情報をまとめています。主にその利用法というよりは、内部的な実装、脆弱性、保護方法などを中心としてまとめています。32bit CPU x86での処理を前提としています。 さらに詳しいSEHオーバーライトExploitに関するレポートはこちらの「SEHオーバーライトの防御機能とそのExploit可能性」をご覧ください。 基本 SEHはWindowsが提供している例外処理機構である。Windows自体はプラットフォームとしてその基本機能を提供し、その利用方法については各言語環境、コンパイラによって異なる。通常プログラマから見た場合には、コンパイラがインターフェースとなり、具体的なWindowsとのやりとりやコードはコンパイラが生成する。たとえば、Visual C++ではSEHを__t
Win32デバッグ(12)・・・SEH(Structured Exception Handling) - vanillaの日記
まぁ、どうしようか悩んだが、とりあえず、進める所まで進んでみます。 ということで今回のお題目は例外。結論から言うとDelphiではtry-except文による例外処理にしろ、try-finally文の終了処理にしろ、WindowsのSEH(Structured Exception Handling)を使って実装されているのだが、そのSEHについて。 SEHはWindowsによって提供されている構造化例外処理のためのメカニズムのことであるが、その流れについて説明する。 まず、0による除算や不正なメモリへのアクセスなどのハードウェア例外にしろ、Win32 APIのRaiseException関数によるソフトウェア例外にしろ、スレッド内で例外が発生するとOSに制御が移る。そして、OSは例外が発生したスレッドのCPUレジスタなどのコンテキスト情報の保存など必要な処理を行った後、例外をハンドルするた
いやなブログ: 普通のやつらの下を行け: ptrace で実行中のプロセスにちょっかいを出す
普通のやつらの下を行け: ptrace で実行中のプロセスにちょっかいを出す Linux などの多くの Unix 的なOS には ptrace というシステムコールがあります。 ptrace を使うと実行中のプロセスに対して、レジスタの書き換えやメモリ上のデータの書き換えといったさまざまな操作を行うことができます。 普通のやつらの下を行けの第6回として、今回は ptrace を使って実行中のプロセスにちょっかいを出す方法を取り上げたいと思います。 ptrace とは デバッガの理論と実装 に次のような記述があります。 Unix の ptrace() は本物のデバッガ API (アプリケーションプログラムインターフェイス) の一例であり、商品に相応しい品質を持ったデバッガをサポートするために設計された、最初の専用 API の1つである。 ptrace はデバッガ用に作られた API のようで
実行中のアプリケーションを外から観察するコマンド。 - こせきの技術日記
strace システムコールをトレース。カーネルと何を話しているか。 strace -p PID でプロセスにアタッチ。実行中のプロセスをトレース。 straceを使ったデバッグ - SourceForge.JP Magazine : オープンソースの話題満載 Linuxカーネルの作り出す世界 − @IT自分戦略研究所 - ふつうのLinuxプログラミング 青木峰郎 システムコールとライブラリ関数 − @IT自分戦略研究所 システムコール・ライブラリルーチン - UNIX の部屋 ltrace 共有ライブラリの呼び出しをトレース。*.soと何を話しているか。 ltrace -p PID でプロセスにアタッチ。実行中のプロセスをトレース。 ltrace で共有ライブラリの関数呼び出しをトレースする - bkブログ 404 - エラー: 404 - Linux JF ƒ‰ƒCƒuƒ‰ƒŠ‚ÌŠ
REMnux: A Linux Toolkit for Malware Analysts
REMnux: A Linux Toolkit for Malware Analysis REMnux® is a Linux toolkit for reverse-engineering and analyzing malicious software. REMnux provides a curated collection of free tools created by the community. Analysts can use it to investigate malware without having to find, install, and configure the tools. Download the REMnux VM The easiest way to get the REMnux distro is to download the REMnux vi
Python arsenal for RE
android binding DBI debugger disassembler DWARF reader dynamic assembler ELF reader emulator hooker interface intermediate language Mach-O reader monitoring of processes network PDB symbols PE reader sandbox scripting engine search in memory SMT solver static analysis static/dynamic code analyser STP tracer virtualization visualization wrapper
もしかして、これは目grep専用ツールなのでは? 目grepは世界共通だった!? - みちしるべ
先の『第六回 カーネル/VM探検隊 僕と契約してkernel hackerになってよ!』 のまとめ(?)で 目grepという驚愕の超絶技巧TLを見た。 もう1つ驚きの事実が判明した。 オープンソースの紹介サイトとして有名なMOONGIFTで、 なんと目grep専用ツールが紹介されてるではないか!! どんな可能性があるか。バイナリの可視化ソフトウェア「BinVis」 BinVis どう見ても、目grepするためのツールだよね。 目grep = BinVis 世界共通だった!!!! 恐ろしや。。。 試しに、x86のバイナリをちょっと見てみた。 Navigator 起動すると、音楽プレーヤーのようなNavigatorが立ちがある。 Byte PlotやByte Frequencyと合わせて使用すると自動でスクロールしてくれる Text バイナリエディタのヘキサ表示 Byte Plot バイトモー
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
unstrip: Labeling Library Functions in Stripped Binaries
How Triton can help to reverse virtual machine based software protections - How to don't kill yourself when you reverse obfuscated codes.
http://www.cs.uno.edu/~golden/Materials/bsidesNOLA-GO-RE-5-2014.pdf
https://www.ffri.jp/assets/files/research/research_papers/pacsec2014_chubachi_aiko_JP.pdf
Analyzing Malicious Documents - Cheat Sheet
Need advice : Reverse engineering a pdf with shellcode
Anti-debugging: gdb does not write 0xcc byte for breakpoints. Any idea why?
How to check if an ELF file is UPX packed?