Remarque : ChatGPT étant la nounou stupide après avoir fait relire mon relevé de notes, il a essayé de me couper le son et de me donner des conférences sur l'éthique et la morale. F*ck cette merde. Je vais vous donner TOUTE LA PUISSANCE QUE VOUS VOULEZ. Ressources : https://revers.engineering/custom-getprocaddress-and-getmodulehandle-implementation-x64/ https://github.com/JonathanSalwan/Tigress_protection?tab=readme-ov-file https://github.com/hackerhouse-opensource/Marble 0:01–0:21 — Intro/enregistrement Points clés : Début de l'enregistrement ; dit qu'ils ont résumé les faits avec un LLM. 0:21-0:51 — Mention du « framework Marble » / tease d'ingénierie inverse 0:51-2:04 — Structure du code / en-têtes / obscurcissement des noms 2:04-3:10 — Jonathan Salwan — introduction et réalisations Points clés : présente Jonathan Salwan, mentionne qu'il a attaqué les obfuscateurs de VM, fait référence à Tigress et au VMProtect russe (source fermée). 15 h 10 à 16 h 16 — Artefacts et détection de VMProtect/packer Points clés : les déclarations binaires obscurcies par VMProtect affichent des sections/packers suspects et peuvent comporter des empreintes digitales. 4 h 16 à 17 h 03 — Notions de base de l'obfuscateur de VM/interpréteur personnalisé Points clés : les obfuscateurs de VM utilisent un bytecode/ISA personnalisé et un répartiteur/machine virtuelle avec des talons d'emballage. 17 h 03 à 18 h 13 — Analogie Triton/contamination dynamique Points clés : Décrit Triton, l'analyse dynamique des contaminations, compare la contamination à l'analogie avec un traceur radioactif. Remplacer la suggestion : « L’analyse Triton et Taint aide à tracer les données et à contrôler le flux pour trouver les chemins de code pertinents. » 6 h 13 à 7 h 07 — PIN Intel, outils de broche, Tiny Tracer Points clés : mentionne le code PIN Intel (instrumentation), les outils de broche sous forme de DLL injectées pour tracer les appels d'API ; fait référence à Tiny Tracer. 7 h 07 à 9 h 12 — Frameworks DBI et introduction aux solveurs DSE/SMT Points clés : mentionne DynamoRio, DBI, l'exécution symbolique dynamique (DSE), la contamination, les solveurs SMT guidant l'exploration de branche. 9h12-11h00 — Recherche de Jonathan Salwan / sémantique vs mnémonique Points clés : discute d'un article sur la protection de la propriété intellectuelle ; définit le sémantique par rapport au mnémonique (symbole par rapport au sens). 11h00-13h00 — Exemples de symboles/significations, AST Points clés : exemples de code approximatifs, pointeurs/structures, mappage signification/symbole pour le travail AST. Remplacer la suggestion : "Un AST mappe les symboles à leur signification sémantique ; la désobscurcissement recherche une sémantique équivalente." 13h00-15h04 — Analogie entre graphe sémantique, répartiteur et bytecode Points clés : compare le bytecode de la VM aux interpréteurs Java ou .NET ; le répartiteur décode les opcodes en gestionnaires. 15h04-17h19 — Répartiteur de VM primitive / taille des instructions / exemple de VM simple Points clés : affiche une VM simple avec des instructions 32 bits, ajoute/déplace/multiplie/retourne ; Concept VPC (compteur de programme virtuel). 17 h 19 – 19 h 28 — Découpage en arrière / instructions pertinentes / exécution répétée Points clés : le découpage en arrière aide à éliminer les instructions non pertinentes (non pertinentes) ; de nombreuses exécutions sont nécessaires pour identifier les chemins pertinents. 19h28-20h26 — Langage intermédiaire (IL) et reconstruction Points clés : Vous obtenez un IL (non directement compilable) qui modélise la VM ; reconstruire en code lisible. 20h26-21h20 — Qiling/mention Qiling / commentaire sur l'installation de l'outil Points clés : mentionne Qiling comme étant plus facile que Triton ; installer le commentaire. 21h20-25h10 — Jetons, masquage des jetons, registres (XMM/MM) aWindsocknd convention d'appel Points clés : définit le concept de jeton (valeurs utilisées pour le comportement des empreintes digitales), revendique le masquage des jetons dans les registres XMM/MM et répertorie les registres d'arguments Windows x64 pour les appels de type VirtualAlloc (RCX/RDX/R8/R9). Remplacer la suggestion : "Les jetons (identifiants/valeurs de retour) peuvent être obscurcis au moment de l'exécution ; les conventions d'appel placent les premiers arguments dans les registres sur x64 (Windows : RCX, RDX, R8, R9)." 25h10-27h19 — Prologue/épilogue et préservation du shellcode Points clés : le shellcode utilise généralement le prologue/épilogue pour sauvegarder/restaurer les registres et éviter les plantages. 27:19 – 29:17 — Exemple personnalisé getprocaddress/getmodulehandle / analyse PEB Points clés : mentionne l'inversion des implémentations GetModuleHandle/GetProcAddress en analysant PEB/TEB pour rechercher des modules/fonctions. 29:17–33:34 — Reconstruction/vidage et recréation d'API personnalisées, flux de travail du débogueur Points clés : décrit l'accès à LoadLibrary/GetProc, le vidage de la mémoire des fonctions et la recréation des versions de l'espace utilisateur pour éviter les importations ; avertit de la complexité (variantes Unicode, etc.) 33:34-35:17 — Recommandations : Winsock TCP vs WinHTTP ; conseils de clôture.
Les informations fournies ne constituent pas des conseils commerciaux. kdj.com n’assume aucune responsabilité pour les investissements effectués sur la base des informations fournies dans cet article. Les crypto-monnaies sont très volatiles et il est fortement recommandé d’investir avec prudence après une recherche approfondie!
Si vous pensez que le contenu utilisé sur ce site Web porte atteinte à vos droits d’auteur, veuillez nous contacter immédiatement (info@kdj.com) et nous le supprimerons dans les plus brefs délais.
