Einführung in die Entschleierung virtueller Maschinen. Triton. Qiling Framework und Token Runtime Evasion

Hinweis: ChatGPT war das dumme Kindermädchen, nachdem ich mein Transkript Korrektur lesen ließ, und versuchte, mich stumm zu schalten und mir Vorträge über Ethik und Moral zu halten. Scheiß auf den Scheiß. Ich werde dir ALLE KRAFT geben, die du WILLST. Ressourcen: https://revers.engineering/custom-getprocaddress-and-getmodulehandle-implementation-x64/ https://github.com/JonathanSalwan/Tigress_protection?tab=readme-ov-file https://github.com/hackerhouse-opensource/Marble 0:01–0:21 – Einführung / Aufnahme Wichtige Punkte: Beginn der Aufnahme; sagt, sie hätten Fakten mit einem LLM zusammengefasst. 0:21–0:51 – Erwähnung von „Marble Framework“ / Reverse-Engineering-Tease 0:51–2:04 – Codestruktur / Header / Namensverschleierung 2:04–3:10 – Jonathan Salwan – Einführung und Erfolge Wichtige Punkte: Stellt Jonathan Salwan vor, erwähnt, dass er VM-Obfuskatoren angegriffen hat, verweist auf Tigress und (Closed-Source) das russische VMProtect. 3:10–4:16 – VMProtect-/Packer-Artefakte und Erkennung. Kernpunkte: Behauptungen, dass mit VMProtect verschleierte Binärdateien verdächtige Abschnitte/Packer anzeigen und möglicherweise mit einem Fingerabdruck versehen sind. 4:16–5:03 – Grundlagen des VM-Obfuscators/benutzerdefinierter Interpreter. Kernpunkte: VM-Obfuscatoren verwenden einen benutzerdefinierten Bytecode/ISA und einen Dispatcher/eine virtuelle Maschine mit Pack-Stubs. 5:03–6:13 – Analogie zwischen Triton und dynamischem Makel. Kernpunkte: Beschreibt Triton, dynamische Makel-Analyse, vergleicht Makel mit der Analogie zu radioaktivem Tracer. Vorschlag ersetzen: „Triton und Taint-Analyse helfen dabei, Daten zu verfolgen und den Fluss zu steuern, um relevante Codepfade zu finden.“ 6:13–7:07 – Intel PIN, Pin-Tools, Tiny Tracer Kernpunkte: Erwähnt Intel PIN (Instrumentierung), Pin-Tools als DLLs, die zum Verfolgen von API-Aufrufen eingefügt werden; Referenzen Tiny Tracer. 7:07–9:12 – DBI-Frameworks und DSE/SMT-Löser-Grundlage. Kernpunkte: Erwähnt DynamoRio, DBI, dynamische symbolische Ausführung (DSE), Tainting, SMT-Löser, die die Zweigerkundung leiten. 9:12–11:00 – Jonathan Salwans Forschung / Semantik vs. Mnemonik Kernpunkte: Bespricht einen Artikel über den Schutz geistigen Eigentums; definiert Semantik vs. Mnemonik (Symbol vs. Bedeutung). 11:00–13:00 – Beispiele für Symbole/Bedeutungen, AST Kernpunkte: Grobe Codebeispiele, Zeiger/Strukturen, Bedeutung vs. Symbolzuordnung für AST-Arbeit. Vorschlag ersetzen: „Ein AST ordnet Symbole ihrer semantischen Bedeutung zu; die Entschleierung sucht nach äquivalenter Semantik.“ 13:00–15:04 – Semantischer Graph / Dispatcher / Bytecode-Analogie Wichtige Punkte: Vergleicht VM-Bytecode mit Java- oder .NET-Interpretern; Der Dispatcher dekodiert Opcodes in Handler. 15:04–17:19 – Primitiver VM-Dispatcher / Befehlsgröße / einfaches VM-Beispiel Wichtige Punkte: Zeigt einfache VM mit 32-Bit-Befehlen, Additionen/Verschieben/Multiplizieren/Zurückgeben; VPC-Konzept (Virtual Program Counter). 17:19–19:28 – Rückwärts-Slicing / relevante Anweisungen / wiederholte Ausführung Wichtige Punkte: Rückwärts-Slicing hilft, nicht relevante (irrelevante) Anweisungen zu eliminieren; Es sind viele Ausführungen erforderlich, um relevante Pfade zu identifizieren. 19:28–20:26 – Intermediate Language (IL) und Neuerstellung Wichtige Punkte: Sie erhalten eine IL (nicht direkt kompilierbar), die die VM modelliert; in lesbaren Code umwandeln. 20:26–21:20 – Qiling/Qiling-Erwähnung/Kommentar zur Tool-Installation Kernpunkte: Erwähnt Qiling als einfacher als Triton; Kommentar installieren. 21:20–25:10 – Token, versteckte Token, Register (XMM/MM) aWindsocknd-Aufrufkonvention Wichtige Punkte: Definiert das Token-Konzept (Werte, die für das Fingerabdruckverhalten verwendet werden), beansprucht das Verstecken von Token in XMM/MM-Registern und listet Windows x64-Argumentregister für VirtualAlloc-ähnliche Aufrufe auf (RCX/RDX/R8/R9). Ersetzungsvorschlag: „Tokens (Bezeichner/Rückgabewerte) können zur Laufzeit verschleiert werden; Aufrufkonventionen platzieren frühe Argumente in Registern auf x64 (Windows: RCX, RDX, R8, R9).“ 25:10–27:19 – Prolog/Epilog und Shellcode-Erhaltung Wichtige Punkte: Shellcode verwendet im Allgemeinen Prolog/Epilog, um Register zu speichern/wiederherstellen und Abstürze zu vermeiden. 27:19–29:17 – Benutzerdefiniertes getprocaddress/getmodulehandle-Beispiel / PEB-Parsing Wichtige Punkte: Erwähnt die Umkehrung von GetModuleHandle/GetProcAddress-Implementierungen durch Parsen von PEB/TEB, um Module/Funktionen zu finden. 29:17–33:34 – Benutzerdefinierte API-Rekonstruktion/Dump & Neuerstellung, Debugger-Workflow. Wichtige Punkte: Beschreibt den Einstieg in LoadLibrary/GetProc, das Sichern des Speichers von Funktionen und das Neuerstellen von Userland-Versionen, um Importe zu vermeiden; warnt vor Komplexität (Unicode-Varianten usw.) 33:34–35:17 – Empfehlungen: Winsock TCP vs. WinHTTP; Schlussratschlag.