Spass mit Codeflow Analyse - neuer Schwung für Malware

Item

Title
Spass mit Codeflow Analyse - neuer Schwung für Malware
Description
Programme, die nur als Maschinencode vorliegen sind oft nicht leicht zu handhaben: beim Übersetzen des noch verständlichen Sourcecodes gibt es zu viele Möglichkeiten durch Optimierungen die Struktur des Programmes zu verklären. Wir versuchen diese Struktur teilweise wieder zu gewinnen, darzustellen und für unsere Zwecke aufzubereiten.

Dabei wird zunächst der Maschinencode von IA32/Linux ELF Binärdateien disassembliert, mit Hilfe einer selbstentwickelten Disassembler-Library, deren Aufbau kurz erläutert wird. Die einzelnen Instruktionen werden danach mittels Trace-Verfahren in strukturellen Einheiten (basic blocks) zusammengefasst, zwischen denen der Codeflow analysiert werden kann.

Als Anwendung dieser Techniken zeigen wir zuerst das Fingerprinten von Funktionen. Dies nutzen wir zum Erkennung und Verändern von Schutzcode im Kernel (am Beispiel des StMichael Kernel "Schutz"-Modules). Weiter betrachten wir die Möglichkeiten bestimmte Aussagen über den Control-Flow zu machen, die für versteckte Backdoors genutzt werden können. Die Erkenntnisse daraus verwenden wir anschliessend um beliebigen Programmcode in einem anderen Programm an optimalen Stellen einzubauen.

Am Ende des Vortrages wird der Quellcode unter einer nicht-restriktiven Lizens veröffentlicht (LGPL, GPL, BSD oder so).
Date Issued
28 December 2002
Source
HP: media
Beteiligte Person
Stealth
Halvar Flake
Scut
Extent
1:37:25
Identifier
ark:/45490/bmeoo1