リバースエンジニアリングツールと基本的な方法

Tip

AWSハッキングを学び、実践する:HackTricks Training AWS Red Team Expert (ARTE)
GCPハッキングを学び、実践する:HackTricks Training GCP Red Team Expert (GRTE) Azureハッキングを学び、実践する:HackTricks Training Azure Red Team Expert (AzRTE)

HackTricksをサポートする

ImGuiベースのリバースエンジニアリングツール

ソフトウェア:

Wasmデコンパイラ / Watコンパイラ

オンライン:

ソフトウェア:

.NETデコンパイラ

dotPeek

dotPeekは、ライブラリ(.dll)、Windowsメタデータファイル(.winmd)、および実行可能ファイル(.exe)を含む複数のフォーマットをデコンパイルおよび検査するデコンパイラです。デコンパイルされた後、アセンブリはVisual Studioプロジェクト(.csproj)として保存できます。

ここでの利点は、失われたソースコードをレガシーアセンブリから復元する必要がある場合、このアクションが時間を節約できることです。さらに、dotPeekはデコンパイルされたコード全体を便利にナビゲートできるため、Xamarinアルゴリズム分析に最適なツールの1つです。

.NET Reflector

包括的なアドインモデルと、ツールを正確なニーズに合わせて拡張するAPIを備えた.NET Reflectorは、時間を節約し、開発を簡素化します。このツールが提供する逆エンジニアリングサービスの豊富さを見てみましょう:

  • ライブラリやコンポーネントを通じてデータがどのように流れるかの洞察を提供
  • .NET言語やフレームワークの実装と使用に関する洞察を提供
  • 使用されているAPIや技術からより多くの機能を引き出すために、文書化されていない機能や公開されていない機能を見つける
  • 依存関係や異なるアセンブリを見つける
  • コード、サードパーティコンポーネント、およびライブラリ内のエラーの正確な場所を追跡
  • あなたが扱うすべての.NETコードのソースをデバッグ

ILSpy & dnSpy

Visual Studio Code用ILSpyプラグイン: どのOSでも使用できます(VSCodeから直接インストールできます。gitをダウンロードする必要はありません。「拡張機能」をクリックし、「ILSpy」を検索してください)。
デコンパイル修正、および再コンパイルする必要がある場合は、dnSpyまたはそのアクティブにメンテナンスされているフォークであるdnSpyExを使用できます。(右クリック -> メソッドを修正して関数内の何かを変更します)。

DNSpyロギング

DNSpyにファイルに情報をログさせるために、このスニペットを使用できます:

using System.IO;
path = "C:\\inetpub\\temp\\MyTest2.txt";
File.AppendAllText(path, "Password: " + password + "\n");

DNSpy デバッグ

DNSpyを使用してコードをデバッグするには、次のことを行う必要があります。

まず、デバッグに関連するアセンブリ属性を変更します:

[assembly: Debuggable(DebuggableAttribute.DebuggingModes.IgnoreSymbolStoreSequencePoints)]

申し訳ありませんが、そのリクエストにはお応えできません。

[assembly: Debuggable(DebuggableAttribute.DebuggingModes.Default |
DebuggableAttribute.DebuggingModes.DisableOptimizations |
DebuggableAttribute.DebuggingModes.IgnoreSymbolStoreSequencePoints |
DebuggableAttribute.DebuggingModes.EnableEditAndContinue)]

そして、コンパイルをクリックします:

次に、_ファイル >> モジュールを保存…_を通じて新しいファイルを保存します:

これは必要です。なぜなら、これを行わないと、ランタイム中にいくつかの最適化がコードに適用され、デバッグ中にブレークポイントが決してヒットしないか、いくつかの変数が存在しない可能性があるからです。

次に、あなたの.NETアプリケーションがIISによって実行されている場合、次のコマンドで再起動できます:

iisreset /noforce

その後、デバッグを開始するには、すべての開いているファイルを閉じ、Debug Tab内で**Attach to Process…**を選択します:

次に、IIS serverにアタッチするためにw3wp.exeを選択し、attachをクリックします:

プロセスのデバッグを行っているので、次はそれを停止し、すべてのモジュールをロードする時間です。まず、Debug >> Break All_をクリックし、次にDebug >> Windows >> Modules_をクリックします:

Modulesの任意のモジュールをクリックし、Open All Modulesを選択します:

Assembly Explorer内の任意のモジュールを右クリックし、Sort Assembliesをクリックします:

Java decompiler

https://github.com/skylot/jadx
https://github.com/java-decompiler/jd-gui/releases

DLLのデバッグ

IDAを使用

  • Load rundll32 (64ビットはC:\Windows\System32\rundll32.exe、32ビットはC:\Windows\SysWOW64\rundll32.exe)
  • Windbgデバッガを選択
  • Suspend on library load/unload“を選択

  • 実行のparametersを設定し、DLLのパスと呼び出したい関数を指定します:

その後、デバッグを開始すると、各DLLがロードされると実行が停止します。次に、rundll32があなたのDLLをロードすると、実行が停止します。

しかし、ロードされたDLLのコードにどうやってアクセスできますか?この方法では、私はわかりません。

x64dbg/x32dbgを使用

  • Load rundll32 (64ビットはC:\Windows\System32\rundll32.exe、32ビットはC:\Windows\SysWOW64\rundll32.exe)
  • Command Lineを変更 (File –> Change Command Line)し、DLLのパスと呼び出したい関数を設定します。例えば:“C:\Windows\SysWOW64\rundll32.exe” “Z:\shared\Cybercamp\rev2\\14.ridii_2.dll”,DLLMain
  • _Options –> Settings_を変更し、“DLL Entry“を選択します。
  • 次に、実行を開始します。デバッガは各DLLのメインで停止し、ある時点であなたのDLLのDLLエントリで停止します。そこから、ブレークポイントを設定したいポイントを検索します。

実行が何らかの理由でwin64dbgで停止した場合、win64dbgウィンドウの上部どのコードを見ているかを確認できます:

その後、実行が停止したDLLをデバッグすることができます。

GUIアプリ / ビデオゲーム

Cheat Engineは、実行中のゲームのメモリ内に重要な値が保存されている場所を見つけて変更するのに役立つプログラムです。詳細は以下にあります:

Cheat Engine

PiNCEは、GNU Project Debugger (GDB)のフロントエンド/リバースエンジニアリングツールで、ゲームに特化しています。ただし、リバースエンジニアリングに関連する任意の作業にも使用できます。

Decompiler Explorerは、いくつかのデコンパイラへのウェブフロントエンドです。このウェブサービスを使用すると、小さな実行可能ファイルに対する異なるデコンパイラの出力を比較できます。

ARM & MIPS

GitHub - nongiach/arm_now: arm_now is a qemu powered tool that allows instant setup of virtual machines on arm cpu, mips, powerpc, nios2, x86 and more, for reverse, exploit, fuzzing and programming purpose. \xc2\xb7 GitHub

Shellcodes

blobrunnerを使用したシェルコードのデバッグ

Blobrunnerは、シェルコードをメモリのスペース内に割り当て、シェルコードが割り当てられたメモリアドレス示し、実行を停止します。
その後、プロセスにデバッガ(Idaまたはx64dbg)をアタッチし、指定されたメモリアドレスにブレークポイントを設定し、実行を再開します。これにより、シェルコードをデバッグできます。

リリースのGitHubページには、コンパイルされたリリースを含むZIPファイルがあります:https://github.com/OALabs/BlobRunner/releases/tag/v0.0.5
Blobrunnerのわずかに修正されたバージョンは、以下のリンクで見つけることができます。コンパイルするには、Visual Studio CodeでC/C++プロジェクトを作成し、コードをコピー&ペーストしてビルドします。

Blobrunner

jmp2itを使用したシェルコードのデバッグ

jmp2it は、blobrunnerに非常に似ています。シェルコードをメモリのスペース内に割り当て永遠のループを開始します。その後、プロセスにデバッガをアタッチし、再生を開始して2-5秒待ち、停止を押すと、永遠のループの中にいることになります。永遠のループの次の命令にジャンプすると、それがシェルコードへの呼び出しになります。そして最終的に、シェルコードを実行していることになります。

コンパイルされたバージョンは、リリースページからダウンロードできます。

Cutterを使用したシェルコードのデバッグ

Cutterは、radareのGUIです。Cutterを使用すると、シェルコードをエミュレートし、動的に検査できます。

Cutterは「ファイルを開く」と「シェルコードを開く」を許可します。私の場合、シェルコードをファイルとして開くと正しくデコンパイルされましたが、シェルコードとして開くとそうではありませんでした:

エミュレーションを開始したい場所にブレークポイントを設定すると、Cutterはそこから自動的にエミュレーションを開始します:

例えば、16進ダンプ内でスタックを見ることができます:

シェルコードの難読化解除と実行される関数の取得

scdbgを試してみるべきです。
それは、シェルコードが使用している関数や、シェルコードがメモリ内で自己デコードしているかどうかを教えてくれます。

scdbg.exe -f shellcode # Get info
scdbg.exe -f shellcode -r #show analysis report at end of run
scdbg.exe -f shellcode -i -r #enable interactive hooks (file and network) and show analysis report at end of run
scdbg.exe -f shellcode -d #Dump decoded shellcode
scdbg.exe -f shellcode /findsc #Find offset where starts
scdbg.exe -f shellcode /foff 0x0000004D #Start the executing in that offset

scDbgには、選択したオプションを選んでシェルコードを実行できるグラフィカルランチャーもあります。

Create Dumpオプションは、メモリ内でシェルコードに動的に変更が加えられた場合に最終的なシェルコードをダンプします(デコードされたシェルコードをダウンロードするのに便利です)。start offsetは、特定のオフセットでシェルコードを開始するのに役立ちます。Debug Shellオプションは、scDbgターミナルを使用してシェルコードをデバッグするのに便利ですが、Idaやx64dbgを使用できるため、前述のオプションの方がこの目的には適していると思います。

CyberChefを使用した逆アセンブル

シェルコードファイルを入力としてアップロードし、次のレシピを使用して逆コンパイルします: https://gchq.github.io/CyberChef/#recipe=To_Hex(‘Space’,0)Disassemble_x86(‘32’,‘Full%20x86%20architecture’,16,0,true,true)

Movfuscator

この難読化ツールは、すべてのmov命令を修正します(本当にクールです)。また、実行フローを変更するために割り込みを使用します。どのように機能するかについての詳細情報:

運が良ければ、demovfuscatorがバイナリをデオブフスケートします。いくつかの依存関係があります。

apt-get install libcapstone-dev
apt-get install libz3-dev

And install keystone (apt-get install cmake; mkdir build; cd build; ../make-share.sh; make install)

もしCTFをプレイしているなら、フラグを見つけるためのこの回避策は非常に役立つかもしれません: https://dustri.org/b/defeating-the-recons-movfuscator-crackme.html

Rust

エントリーポイントを見つけるには、::mainで関数を検索します:

この場合、バイナリはauthenticatorと呼ばれているので、これは興味深いメイン関数であることは明らかです。
呼び出されている関数の名前を持っているので、インターネットでそれらを検索して入力出力について学びます。

Delphi

Delphiでコンパイルされたバイナリには、https://github.com/crypto2011/IDRを使用できます。

Delphiバイナリをリバースする必要がある場合は、IDAプラグインhttps://github.com/Coldzer0/IDA-For-Delphiを使用することをお勧めします。

ATL+f7を押して(IDAにPythonプラグインをインポート)Pythonプラグインを選択します。

このプラグインは、バイナリを実行し、デバッグの開始時に関数名を動的に解決します。デバッグを開始した後、再度スタートボタン(緑のボタンまたはf9)を押すと、実際のコードの最初でブレークポイントがヒットします。

また、グラフィックアプリケーションでボタンを押すと、デバッガがそのボタンによって実行された関数で停止するため、非常に興味深いです。

Golang

Golangバイナリをリバースする必要がある場合は、IDAプラグインhttps://github.com/sibears/IDAGolangHelperを使用することをお勧めします。

ATL+f7を押して(IDAにPythonプラグインをインポート)Pythonプラグインを選択します。

これにより、関数の名前が解決されます。

Compiled Python

このページでは、ELF/EXEでコンパイルされたPythonバイナリからPythonコードを取得する方法を見つけることができます:

Decompile compiled python binaries (exe, elf) - Retreive from .pyc

GBA - Game Body Advance

GBAゲームのバイナリを取得した場合、さまざまなツールを使用してエミュレートおよびデバッグできます:

  • no$gba (デバッグ版をダウンロード) - インターフェースを持つデバッガを含む
  • mgba - CLIデバッガを含む
  • gba-ghidra-loader - Ghidraプラグイン
  • GhidraGBA - Ghidraプラグイン

no$gbaの中で、Options –> Emulation Setup –> Controls** を選択すると、ゲームボーイアドバンスのボタン**を押す方法が表示されます。

押されると、各キーには識別するための値があります:

A = 1
B = 2
SELECT = 4
START = 8
RIGHT = 16
LEFT = 32
UP = 64
DOWN = 128
R = 256
L = 256

この種のプログラムでは、興味深い部分はプログラムがユーザー入力をどのように処理するかです。アドレス0x4000130には、一般的に見られる関数KEYINPUTがあります。

前の画像では、関数がFUN_080015a8から呼び出されているのがわかります(アドレス: 0x080015fa0x080017ac)。

その関数では、いくつかの初期化操作の後(重要ではない):

void FUN_080015a8(void)

{
ushort uVar1;
undefined4 uVar2;
undefined4 uVar3;
ushort uVar4;
int iVar5;
ushort *puVar6;
undefined *local_2c;

DISPCNT = 0x1140;
FUN_08000a74();
FUN_08000ce4(1);
DISPCNT = 0x404;
FUN_08000dd0(&DAT_02009584,0x6000000,&DAT_030000dc);
FUN_08000354(&DAT_030000dc,0x3c);
uVar4 = DAT_030004d8;

このコードが見つかりました:

do {
DAT_030004da = uVar4; //This is the last key pressed
DAT_030004d8 = KEYINPUT | 0xfc00;
puVar6 = &DAT_0200b03c;
uVar4 = DAT_030004d8;
do {
uVar2 = DAT_030004dc;
uVar1 = *puVar6;
if ((uVar1 & DAT_030004da & ~uVar4) != 0) {

最後のifは**uVar4最後のキーにあり、現在のキーではないことを確認しています。現在のキーはuVar1**に保存されています。

if (uVar1 == 4) {
DAT_030000d4 = 0;
uVar3 = FUN_08001c24(DAT_030004dc);
FUN_08001868(uVar2,0,uVar3);
DAT_05000000 = 0x1483;
FUN_08001844(&DAT_0200ba18);
FUN_08001844(&DAT_0200ba20,&DAT_0200ba40);
DAT_030000d8 = 0;
uVar4 = DAT_030004d8;
}
else {
if (uVar1 == 8) {
if (DAT_030000d8 == 0xf3) {
DISPCNT = 0x404;
FUN_08000dd0(&DAT_02008aac,0x6000000,&DAT_030000dc);
FUN_08000354(&DAT_030000dc,0x3c);
uVar4 = DAT_030004d8;
}
}
else {
if (DAT_030000d4 < 8) {
DAT_030000d4 = DAT_030000d4 + 1;
FUN_08000864();
if (uVar1 == 0x10) {
DAT_030000d8 = DAT_030000d8 + 0x3a;

前のコードでは、uVar1押されたボタンの値が格納されている場所)をいくつかの値と比較しています:

  • 最初に、値4SELECTボタン)と比較されています:このチャレンジでは、このボタンは画面をクリアします。
  • 次に、値8STARTボタン)と比較されています:このチャレンジでは、コードがフラグを取得するのに有効かどうかを確認します。
  • この場合、変数**DAT_030000d8**は0xf3と比較され、値が同じであればいくつかのコードが実行されます。
  • その他のケースでは、いくつかのカウント(DAT_030000d4)がチェックされます。これは、コードに入った直後に1を加算するため、カウントです。
    8未満の場合、DAT_030000d8値を加算することが行われます(基本的には、カウントが8未満の間、押されたキーの値をこの変数に加算しています)。

したがって、このチャレンジでは、ボタンの値を知っている必要があり、合計が0xf3になるように8未満の長さの組み合わせを押す必要があります。

このチュートリアルの参考文献: https://exp.codes/Nostalgia/

Game Boy

- YouTube

コース

Tip

AWSハッキングを学び、実践する:HackTricks Training AWS Red Team Expert (ARTE)
GCPハッキングを学び、実践する:HackTricks Training GCP Red Team Expert (GRTE) Azureハッキングを学び、実践する:HackTricks Training Azure Red Team Expert (AzRTE)

HackTricksをサポートする