[Black Asia Arsenal] puzzCode: 專注開發後門的編譯器, 自帶反逆向、對抗病毒特徵碼定位技術

前言

安安,這篇沒有講任何工具本身細節XD 純粹是個人一些 murmur 的廢文

簡報


專案

github.com/aaaddress1/puzzCode
吃我 Source 看細節啦(?)

#murmur


其實事情是這樣 der,去年底忙完一堆工作的事情後發現好像有點閒,然後就收到了這樣的一封信躺在我的 gmail 裡面。畢竟個人覺得自己沒那個屁股能投稿上 BlackHat 或者 DEFCON 這種一線等級的大 Conf。



這封信指出可以投稿你自己的駭客工具到 Black Hat Asia,若被接受,你可以獲得一個攤位和大約 2hr 時間可以讓你 present 你工具特別之處,最棒的是你可以獲得價值六萬塊新台票的入場券!(就是門票啦,那張 Badge)除此之外會贈送大會背包這樣,對一個沒去過 Black Hat 的屁孩如我來說超吸引的啊XD

之前的研究一直都差不多打轉在防毒軟體怎麼設計安全防護上,然後花了一點時間接了 MinGW 編譯器(GCC 在 Windows 分支版本的編譯器)用 C# 寫了一個簡單的 UI,來做到自動化將 C/C++ 原始碼透過編譯器產生 Assembly Script(其實理想狀況用編譯器的 IR Code 會比較恰當,畢竟如果要跨 CPU 架構,你的混淆 Patten 很容易吃大便)然後自幹了簡單的 Assembly 指令混淆邏輯單元、最後再透過組譯器產生出 Object File 與連結器封裝為 *.exe 的 Windows 程式這樣XD

這樣的工具當初構想是:很多基於 YARA 或者其他自定義的惡意程式特徵碼設計概念都是連續組合語言片段檢測 + Hash Check 來確認一隻文件是否具有惡意(正確來說應該是:是否已經被建檔為惡意文件)所以如果能設計一個編譯器自動化做到同份原始碼、每次編譯出的執行程式都會被混淆邏輯單元打散程式碼順序與穿插混淆程式碼,那其實可以做到很強程度的對抗現在一線的防毒軟體(看看那隻有點紅的小傘)

運氣不錯的是:以往 Black Hat 收錄的工具沒有這類型的工具,原本只有備取、最後成功被收錄到 Black Hat Asia 的軍火庫(Arsenal)啦,可參見至:PUZZCODE, MAKE BACKDOORS GREAT AGAIN!


實際擺攤的時候,對你工具有興趣想聽的會在你攤位開始的時間前面卡位等著,然後看起來會...蠻有點壓力的(?)我不會承認是因為怕英文說得很差QQ 然後就是你分享你的工具的時刻惹。不過看了一下左右其他 Arsenal 攤位擺的都是蠻知名的工具,比如說:FLARE VM 這種知名到爆的工具XD,都很怕自己攤位會被噓爆 QQ

總之,如果你很有一些特別想法想實作一些蠻有用的小工具 + 想跑來 Black Hat 逛大莊園(大拜拜啦)這個 Project 蠻適合投稿的XD(感覺很帶壞小朋友)

雜圖

第一天剛註冊報到完成超興奮R
擺攤結束,準備開溜前拍一張XD
切換場次時候第一波人會很多XD,應該是最緊張的時候






這個網誌中的熱門文章

Garena 釣魚蠕蟲 Dropper 樣本分析(照片.zip)與如何清除病毒

[分析][漏洞]破解酷狗音樂IP不在大陸無法聽的限制+解放VIP等級功能(附補釘)

IDA 神器深色主題套用教學,快讓你的 IDA 潮到出水吧!