Reverse engineering: executable file format

Transcript

Università degli Studi di Milano
Facoltà di Scienze Matematiche, Fisiche e Naturali
Roberto Paleari <[email protected]>
Emanuele Passerini <[email protected]>
A.A. 2008–2009
Roberto Paleari, Emanuele Passerini
A.A. 2008–2009
1 / 37
Sommario
1
Introduzione
2
Struttura file eseguibili
Formato ELF
Formato PE
3
Esempi di reversing
A.A. 2008–2009
2 / 37
Sommario
1
Introduzione
2
Formato ELF
Formato PE
3
Esempi di reversing
A.A. 2008–2009
2 / 37
Sommario
1
Introduzione
2
Formato ELF
Formato PE
3
Esempi di reversing
A.A. 2008–2009
2 / 37
Introduzione
Reverse engineering [1]
reverse engineering is the process of extracting the
knowledge or design blueprints from anything man-made
contesti differenti (e.g., elettronica, informatica, . . . )
Software reverse engineering: perché?
studiare architettura interna (dal sorgente)
ricostruire codice sorgente (dal binario)
modificare comportamento (programmi closed-source)
comprendere l’attività di rete (protocolli proprietari)
A.A. 2008–2009
3 / 37
Introduzione
Reverse engineering [1]
reverse engineering is the process of extracting the
knowledge or design blueprints from anything man-made
contesti differenti (e.g., elettronica, informatica, . . . )
Software reverse engineering: perché?
studiare architettura interna (dal sorgente)
ricostruire codice sorgente (dal binario)
modificare comportamento (programmi closed-source)
comprendere l’attività di rete (protocolli proprietari)
A.A. 2008–2009
3 / 37
Software reverse engineering
Applicazioni
plagiarismo
interoperabilità. Alcuni esempi:
Samba → protocollo SMB
WINE → Windows API
ReactOS → Windows XP/2003
OpenOffice → Microsoft Office
malware analysis
cracking
Come?
1
tecniche statiche
2
tecniche dinamiche
A.A. 2008–2009
4 / 37
Software reverse engineering
Tecniche statiche
il programma non viene eseguito
documentazione
codice sorgente
analisi di stringhe, simboli, funzioni di libreria
disassembly e analisi codice assembly
Tecniche dinamiche
esecuzione (monitorata) dell’applicazione
interazioni con l’ambiente (e.g., file system, rete, registro)
interazioni con il sistema operativo (system call)
debugging
A.A. 2008–2009
5 / 37
Analisi di codice binario
Tecniche statiche
1
analisi meta-informazioni dell’eseguibile
funzioni di libreria utilizzate
simboli
informazioni di debugging
...
2
disassembly
call graph
analisi codice assembly
...
A.A. 2008–2009
6 / 37
file eseguibili “moderni” hanno una struttura complessa
Linux → Executable and Linkable Format (ELF)
Windows → Portable Executable (PE)
Un po’ di “storia”. . .
MS-DOS → formato COM
no header, no meta-data
solo codice e dati, in un unico segmento
problemi
max 0xff00 byte
non rilocabile
niente dynamic linking
...
A.A. 2008–2009
7 / 37
file eseguibili “moderni” hanno una struttura complessa
Linux → Executable and Linkable Format (ELF)
Windows → Portable Executable (PE)
Un po’ di “storia”. . .
MS-DOS → formato COM
no header, no meta-data
solo codice e dati, in un unico segmento
problemi
max 0xff00 byte
non rilocabile
niente dynamic linking
...
A.A. 2008–2009
7 / 37
ELF: Executable and Linkable Format
Tipologie di file ELF [4]
1
relocatable
2
executable
3
shared object
Esempio
roby@gandalf:/tmp$ gcc -c test.c -o test.o
roby@gandalf:/tmp$ file test.o
test.o: ELF 32-bit LSB relocatable, Intel 80386, version 1 (SYSV) ...
roby@gandalf:/tmp$ gcc test.c -o test
roby@gandalf:/tmp$ file test
test: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV) ...
roby@gandalf:/tmp$ gcc -shared test.c -o test.so
roby@gandalf:/tmp$ file test.so
test.so: ELF 32-bit LSB shared object, Intel 80386, version 1 (SYSV) ...
A.A. 2008–2009
8 / 37
Struttura file ELF
ELF header
Program header table
Section 1
...
Informazioni
sull’organizzazione del file
Section n
...
Section header table
ELF executable file
A.A. 2008–2009
9 / 37
Struttura file ELF
ELF header
Section 1
...
Dettagli su come creare
l’immagine in memoria
Section n
...
ELF executable file
A.A. 2008–2009
9 / 37
Struttura file ELF
ELF header
Section 1
...
Contengono i dati “effettivi” (e.g., istruzioni,
dati, symbol table)
Section n
...
ELF executable file
A.A. 2008–2009
9 / 37
Struttura file ELF
ELF header
Section 1
...
Informazioni relative alle sezioni
(e.g., nome, dimensione)
Section n
...
ELF executable file
A.A. 2008–2009
9 / 37
ELF header
Elf32 Ehdr in /usr/include/linux/elf.h
magic number (\x7fELF), ELF type & version
architettura & endianness
entry point (virtual address)
offset (nel file) di program & section header table
...
Esempio
roby@gandalf:/tmp$ readelf -h test
ELF Header:
Magic:
7f 45 4c 46 01 01 01 00 00 00 00 00 00 00 00 00
...
Type:
EXEC (Executable file)
Machine:
Intel 80386
Version:
0x1
Entry point address:
0x80482f0
...
A.A. 2008–2009
10 / 37
Array di Elf32 Shdr in /usr/include/linux/elf.h
specifica, per ogni sezione
nome (i.e., indice nella section header string table)
posizione nel file e memoria
dimensione
...
Esempio
roby@gandalf:/tmp$ objdump -h test
Idx Name
Size
VMA
LMA
File off
0 .interp
00000013 08048114 08048114 00000114
CONTENTS, ALLOC, LOAD, READONLY, DATA
...
12 .text
0000017c 080482f0 080482f0 000002f0
CONTENTS, ALLOC, LOAD, READONLY, CODE
...
22 .data
00000008 080495a4 080495a4 000005a4
CONTENTS, ALLOC, LOAD, DATA
23 .bss
00000008 080495ac 080495ac 000005ac
ALLOC
Algn
2**0
2**4
2**2
2**2
A.A. 2008–2009
11 / 37
Array di Elf32 Phdr in /usr/include/linux/elf.h
array di strutture, ciascuna delle quali definisce
un segmento (i.e., 1+ sezioni in memoria); oppure,
altre informazioni necessarie per organizzare l’immagine in memoria
Esempio
roby@gandalf:/tmp$ objdump
Program Header:
PHDR off
0x00000034
filesz 0x000000e0
INTERP off
0x00000114
filesz 0x00000013
LOAD off
0x00000000
filesz 0x000004a4
LOAD off
0x000004a4
filesz 0x00000108
DYNAMIC off
0x000004b8
filesz 0x000000d0
NOTE off
0x00000128
filesz 0x00000020
STACK off
0x00000000
filesz 0x00000000
-p test
vaddr
memsz
vaddr
memsz
vaddr
memsz
vaddr
memsz
vaddr
memsz
vaddr
memsz
vaddr
memsz
0x08048034
0x000000e0
0x08048114
0x00000013
0x08048000
0x000004a4
0x080494a4
0x00000110
0x080494b8
0x000000d0
0x08048128
0x00000020
0x00000000
0x00000000
paddr
flags
paddr
flags
paddr
flags
paddr
flags
paddr
flags
paddr
flags
paddr
flags
0x08048034
r-x
0x08048114
r-0x08048000
r-x
0x080494a4
rw0x080494b8
rw0x08048128
r-0x00000000
rw-
align 2**2
align 2**0
align 2**12
align 2**12
align 2**2
align 2**2
align 2**2
A.A. 2008–2009
12 / 37
Symbol table
sezione con una entry per simbolo
debugging, dynamic linking, relocation, . . .
Esempio
roby@gandalf:/tmp$ readelf -s test
Symbol table ’.dynsym’
Num:
Value Size
0: 00000000
0
...
3: 00000000
460
4: 0804848c
4
contains 5 entries:
Type
Bind
Vis
NOTYPE LOCAL DEFAULT
Ndx Name
UND
FUNC
OBJECT
UND puts@GLIBC_2.0 (2)
15 _IO_stdin_used
Symbol table ’.symtab’
Num:
Value Size
0: 00000000
0
1: 08048114
0
...
70: 080495ac
0
71: 0804843a
0
72: 080483a4
38
73: 08048274
0
contains 74 entries:
Type
Bind
Vis
NOTYPE LOCAL DEFAULT
SECTION LOCAL DEFAULT
Ndx Name
UND
1
NOTYPE
FUNC
FUNC
FUNC
ABS _edata
13 __i686.get_pc_thunk.bx
13 main
11 _init
GLOBAL DEFAULT
GLOBAL DEFAULT
GLOBAL
GLOBAL
GLOBAL
GLOBAL
DEFAULT
HIDDEN
DEFAULT
DEFAULT
A.A. 2008–2009
13 / 37
Symbol table
sezione con una entry per simbolo
debugging, dynamic linking, relocation, . . .
Esempio
roby@gandalf:/tmp$ readelf -S test | grep ’\.symtab’
[34] .symtab
SYMTAB
...
roby@gandalf:/tmp$ strip test
roby@gandalf:/tmp$ readelf -s test
Symbol table ’.dynsym’ contains 5 entries:
Num:
Value Size Type
Bind
Vis
Ndx Name
0: 00000000
0 NOTYPE LOCAL DEFAULT UND
...
3: 00000000
460 FUNC
GLOBAL DEFAULT UND puts@GLIBC_2.0 (2)
4: 0804848c
4 OBJECT GLOBAL DEFAULT
15 _IO_stdin_used
roby@gandalf:/tmp$ readelf -S test | grep ’\.symtab’
roby@gandalf:/tmp$
A.A. 2008–2009
13 / 37
ELF: supporto al dynamic linking
Dynamic linking
parte delle operazioni di linking vengono rimandate a runtime
facilita l’aggiornamento delle shared library
consente caricamento delle librerie a runtime
overhead a runtime superiore rispetto a linking statico
simboli linkati dinamicamente devono essere risolti “al volo”
A.A. 2008–2009
14 / 37
GOT e PLT: cosa sono?
Global Offset Table e Procedure Linkage Table
sezioni (.got e .plt) presenti in eseguibili che utilizzano
dynamic linking
PLT aggiunge un livello di indirettezza alle chiamate a
funzione, consentendo anche il lazy binding dei relativi indirizzi
Esempio
roby@gandalf:~$ objdump -h $(which ls)
Sections:
Idx Name
Size
VMA
LMA
File off
...
11 .plt
00000610 08049538 08049538 00001538
CONTENTS, ALLOC, LOAD, READONLY, CODE
...
21 .got
00000008 0805b5d4 0805b5d4 000125d4
CONTENTS, ALLOC, LOAD, DATA
Algn
2**2
2**2
A.A. 2008–2009
15 / 37
GOT e PLT: come funzionano?
Chiamata ad una funzione shared
1
chiamata f() shared → chiamata ad una entry della PLT
2
PLT: jmp indiretto ad una entry della GOT che conterrà:
la prima volta, l’indirizzo di una entry della PLT che trasferisce il controllo
al linker, per risoluzione e aggiornamento della GOT
successivamente, l’indirizzo effettivo della shared function
Esempio
roby@gandalf:/tmp$ objdump -d test
...
0804830c <puts@plt>:
804830c:
ff 25 08 96 04 08
8048312:
68 18 00 00 00
8048317:
e9 b0 ff ff ff
...
080483d4 <main>:
...
80483ec:
e8 1b ff ff ff
...
jmp
push
jmp
*0x8049608
$0x18
80482cc <_init+0x30>
call
804830c <puts@plt>
A.A. 2008–2009
16 / 37
jmp *<GOT+n>
<puts@plt>+6:
...linker ...
<GOT+n>:
<puts@plt+6>
.plt
<puts@plt>+0:
.got
call <puts@plt>
.text
Esempio .got e .plt
A.A. 2008–2009
17 / 37
call <puts@plt>
.text
Esempio .got e .plt
jmp *<GOT+n>
<puts@plt>+6:
...linker ...
<GOT+n>:
<puts@plt+6>
.got
<puts@plt>+0:
.plt
1
A.A. 2008–2009
17 / 37
call <puts@plt>
.text
Esempio .got e .plt
jmp *<GOT+n>
<puts@plt>+6:
...linker ...
<GOT+n>:
<puts@plt+6>
2
.got
<puts@plt>+0:
.plt
1
A.A. 2008–2009
17 / 37
call <puts@plt>
.text
Esempio .got e .plt
jmp *<GOT+n>
<puts@plt>+6:
...linker ...
<GOT+n>:
<puts>
2
.got
<puts@plt>+0:
.plt
1
A.A. 2008–2009
17 / 37
call <puts@plt>
.text
Esempio .got e .plt
jmp *<GOT+n>
<puts@plt>+6:
...linker ...
<GOT+n>:
<puts>
.got
<puts@plt>+0:
.plt
3
A.A. 2008–2009
17 / 37
Lazy binding: performance
$ time (mplayer >/dev/null)
real
0m0.039s
user
0m0.024s
sys
0m0.012s
$ time (LD_BIND_NOW=1 mplayer >/dev/null)
real
0m0.141s
user
0m0.100s
sys
0m0.016s
Esempio: dump librerie e dynamic loader
$ ldd /tmp/test
linux-gate.so.1 => (0xb7faf000)
libc.so.6 => /lib/i686/cmov/libc.so.6 (0xb7e43000)
/lib/ld-linux.so.2 (0xb7fb0000)
[15:35:02] roby@gandalf:/tmp$ readelf ./test -x .interp
Hex dump of section ’.interp’:
0x08048114 2f6c6962 2f6c642d 6c696e75 782e736f /lib/ld-linux.so
0x08048124 2e3200
.2.
A.A. 2008–2009
18 / 37
PE: Portable Executable
Tipologie di file PE [2, 3]
1
executable
2
object
3
DLL
4
COM files, OCX controls, CLP applets, .NET executables
5
device driver
6
...
Esempio
roby@gandalf:/tmp$ file test.exe
test.exe: PE32 executable for MS Windows (console) Intel 80386 32-bit
roby@gandalf:/tmp$ file test.o
test.o: 80386 COFF executable not stripped - version 30821
roby@gandalf:/tmp$ file test.dll
test.dll: PE32 executable for MS Windows (DLL) (console) Intel ...
roby@gandalf:/tmp$ file test.sys
test.sys: PE32 executable for MS Windows (DLL) (native) Intel ...
A.A. 2008–2009
19 / 37
Struttura file PE
DOS header DOS stub
PE header
Section table
.text section
.data section
Per retrocompatibilità
...
...
PE executable file
A.A. 2008–2009
20 / 37
Struttura file PE
DOS header DOS stub
PE header
Section table
.text section
.data section
...
Contiene informazioni
sull’organizzazione del file
...
PE executable file
A.A. 2008–2009
20 / 37
Struttura file PE
DOS header DOS stub
PE header
Section table
.text section
.data section
...
Contengono i dati “effettivi” (e.g., istruzioni,
dati, rilocazione)
...
PE executable file
A.A. 2008–2009
20 / 37
Struttura file PE
DOS header DOS stub
PE header
Section table
.text section
.data section
...
Informazioni relative alle sezioni
(e.g., nome, dimensione)
...
PE executable file
A.A. 2008–2009
20 / 37
Introduzione
modulo: file PE caricato in memoria (e “riorganizzato” dal
loader)
RVA: Relative Virtual Address
indirizzo relativo al base address dell’immagine in memoria
RVA 6= file offset
strutture definite in winnt.h
A.A. 2008–2009
21 / 37
DOS header & stub
DOS header
typedef struct IMAGE DOS HEADER {
WORD e magic;
...
LONG e lfanew;
} IMAGE DOS HEADER,∗PIMAGE DOS HEADER;
64 byte, magic number \x4d\x5a (“MZ”)
e lfanew: offset PE header
segue DOS stub
DOS stub
“This program cannot be run in DOS mode”
A.A. 2008–2009
22 / 37
PE header
typedef struct IMAGE NT HEADERS {
DWORD Signature; // ”\x50\x45\x00\x00” (”PE\x00\x00”)
IMAGE FILE HEADER FileHeader;
IMAGE OPTIONAL HEADER OptionalHeader;
} IMAGE NT HEADERS32,∗PIMAGE NT HEADERS32;
typedef struct IMAGE FILE HEADER {
WORD Machine;
WORD NumberOfSections;
...
} IMAGE FILE HEADER,∗PIMAGE FILE HEADER;
typedef struct IMAGE OPTIONAL HEADER { // non e’ opzionale!
...
DWORD AddressOfEntryPoint;
...
DWORD ImageBase;
DWORD SectionAlignment;
DWORD FileAlignment;
...
WORD Subsystem;
...
IMAGE DATA DIRECTORY DataDirectory[IMAGE NUMBEROF DIRECTORY ENTRIES];
} IMAGE OPTIONAL HEADER32,∗PIMAGE OPTIONAL HEADER32;
A.A. 2008–2009
23 / 37
Section table
typedef struct IMAGE SECTION HEADER {
BYTE Name[IMAGE SIZEOF SHORT NAME];
union {
DWORD PhysicalAddress;
DWORD VirtualSize;
} Misc;
DWORD VirtualAddress;
DWORD SizeOfRawData;
DWORD PointerToRawData;
...
DWORD Characteristics;
} IMAGE SECTION HEADER,∗PIMAGE SECTION HEADER;
Alcune sezioni
1
executable code section (.text) (di solito,
AddressOfEntryPoint ∈ .text)
2
data sections (.data, .rdata, .bss, . . . )
3
.rsrc, .edata, .reloc, .debug, . . .
A.A. 2008–2009
24 / 37
Import section (.idata)
OriginalFirstThunk
TimeDateStamp
thunk1
thunk2
h1
name1
h2
name2
...
...
...
...
thunk2
...
thunkn
thunkn
hn
Name
thunk1
namen
FirstThunk
= IMAGE IMPORT DESCRIPTOR
= import name table
= IMAGE IMPORT BY NAME
= import address table
A.A. 2008–2009
25 / 37
Import section (.idata)
OriginalFirstThunk
TimeDateStamp
thunk1
thunk2
h1
name1
h2
name2
...
...
...
...
&name2
...
&namen
thunkn
hn
Name
&name1
namen
FirstThunk
= IMAGE IMPORT DESCRIPTOR
= import name table
= IMAGE IMPORT BY NAME
= import address table
A.A. 2008–2009
25 / 37
Import section (.idata) – invocazione di funzioni importate
0040142d: call 004015c0 < LoadLibraryA@4>
...
004015c0 < LoadLibraryA@4>:
004015c0: jmp ∗0x00405098
01007105: call ∗0x0100108c
richiede 1 call + 1 jmp
jump stubs ∼ .got
differenze?
solo 1 call
declspace(ddlimport)
A.A. 2008–2009
26 / 37
Import section (.idata) – invocazione di funzioni importate
0040142d: call 004015c0 < LoadLibraryA@4>
...
004015c0 < LoadLibraryA@4>:
004015c0: jmp ∗0x00405098
01007105: call ∗0x0100108c
richiede 1 call + 1 jmp
jump stubs ∼ .got
differenze?
solo 1 call
declspace(ddlimport)
A.A. 2008–2009
26 / 37
Esercitazione
Obiettivo
iniettare codice in un binario PE
sfruttare l’allineamento delle sezioni su file e memoria
iniettare in .text
il codice iniettato deve semplicemente stampare una stringa
procedimento:
1
2
3
scrivere codice macchina alla fine di .text
modificare AddressOfEntryPoint
prima di concludere il codice iniettato, restituire il controllo
all’entry point originale
strumenti:
1
2
editor esadecimale (bvi, biew, . . . )
objdump
A.A. 2008–2009
27 / 37
Reverse engineering: alcuni esempi
Variabili
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
#include <string.h>
int global;
int main(int argc, char ∗∗argv)
{
int local;
char v[256];
local = 10;
global = 11;
v[5] = ’a’;
return 0;
}
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
<main>:
...
8048374: lea 0x4(%esp),%ecx
8048378: and $0xfffffff0,%esp
804837b: pushl -0x4(%ecx)
804837e: push %ebp
804837f: mov %esp,%ebp
8048381: push %ecx
8048382: sub $0x110,%esp
8048388: movl $0xa,−0x8(%ebp)
804838f: movl $0xb,0x8049590
8048399: movb $0x61,−0x103(%ebp)
80483a0: mov $0x0,%eax
80483a5: add $0x110,%esp
80483ab: pop %ecx
80483ac: pop %ebp
80483ad: lea -0x4(%ecx),%esp
80483b0: ret
...
A.A. 2008–2009
28 / 37
Chiamata a funzione
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
int sum(int a, int b)
{
int c;
c = a + b;
return c;
}
{
int a;
a = sum(2,3);
return 0;
}
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
<sum>:
push %ebp
mov %esp,%ebp
sub $0x10,%esp
mov 0xc(%ebp),%edx
mov 0x8(%ebp),%eax
add %edx,%eax
mov %eax,−0x4(%ebp)
mov −0x4(%ebp),%eax
leave
ret
<main>:
...
sub $0x18,%esp
movl $0x3,0x4(%esp)
movl $0x2,(%esp)
call <sum>
mov %eax,−0x8(%ebp)
...
A.A. 2008–2009
29 / 37
Costrutto if
1
2
3
4
5
6
7
8
9
10
11
12
#include <stdio.h>
{
if (argc < 2) {
printf(”! syntax error.\n”);
} else {
printf(”ok.\n”);
}
return 0;
}
1
2
3
4
5
6
7
8
9
10
11
12
<main>:
...
80483b7: mov %eax,−0x8(%ebp)
80483ba: cmpl $0x1,(%ecx)
80483bd: jg 80483cd <main+0x29>
80483bf: movl $0x80484b0,(%esp)
80483c6: call 80482d4 <puts@plt>
80483cb: jmp 80483d9 <main+0x35>
80483cd: movl $0x80484c0,(%esp)
80483d4: call 80482d4 <puts@plt>
80483d9: mov $0x0,%eax
...
A.A. 2008–2009
30 / 37
Costrutto while
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
#include <stdio.h>
{
int i;
i = 0;
while (i < 10) {
printf(”∗ %02d\n”, i);
i += 1;
}
return 0;
1
2
3
4
5
6
7
8
9
10
11
12
13
<main>:
...
80483b5: movl $0x0,−0x8(%ebp)
80483bc: jmp 80483d5 <main+0x31>
80483be: mov −0x8(%ebp),%eax
80483c1: mov %eax,0x4(%esp)
80483c5: movl $0x80484b0,(%esp)
80483cc: call 80482d8 <printf@plt>
80483d1: addl $0x1,−0x8(%ebp)
80483d5: cmpl $0x9,−0x8(%ebp)
80483d9: jle 80483be <main+0x1a>
80483db: mov $0x0,%eax
...
}
A.A. 2008–2009
31 / 37
Costrutto for
1
2
3
4
5
6
7
8
9
10
11
12
13
#include <stdio.h>
{
int i;
for(i=0; i<10; i++) {
printf(”∗ %02d\n”, i);
}
return 0;
}
1
2
3
4
5
6
7
8
9
10
11
12
13
<main>:
...
80483b5: movl $0x0,−0x8(%ebp)
80483bc: jmp 80483d5 <main+0x31>
80483be: mov −0x8(%ebp),%eax
80483c1: mov %eax,0x4(%esp)
80483c5: movl $0x80484b0,(%esp)
80483cc: call 80482d8 <printf@plt>
80483d1: addl $0x1,−0x8(%ebp)
80483d5: cmpl $0x9,−0x8(%ebp)
80483d9: jle 80483be <main+0x1a>
80483db: mov $0x0,%eax
...
A.A. 2008–2009
32 / 37
Costrutto switch
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
{
int a;
a = argc;
switch(a) {
case 0:
printf(”case 0\n”); break;
case 1:
...
case 4:
default:
printf(”default\n”); break;
}
return 0;
}
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
<main>:
...
80483b7: mov %eax,−0x8(%ebp)
80483ba: cmpl $0x4,−0x8(%ebp)
80483be: ja 8048414 <main+0x70>
80483c0: mov −0x8(%ebp),%eax
80483c3: shl $0x2,%eax
80483c6: mov 0x8048520(%eax),%eax
80483cc: jmp ∗%eax
80483ce: movl $0x80484f0,(%esp)
80483d5: call 80482d4 <puts@plt>
...
8048406: movl $0x804850c,(%esp)
804840d: call 80482d4 <puts@plt>
8048412: jmp 8048420 <main+0x7c>
8048414: movl $0x8048513,(%esp)
804841b: call 80482d4 <puts@plt>
8048420: mov $0x0,%eax
...
A.A. 2008–2009
33 / 37
Esercizi
1
scrivere un’applicazione che, ricevuto in input un eseguibile
ELF, determina il suo entry point
2
ricompilare gli esempi C riportati nelle slide precedenti
variando il livello di ottimizzazione del compilatore (GCC: flag
-O); osservare come varia il codice assembly generato
3
modificare l’applicazione del punto 1 in modo da determinare
l’indirizzo della procedura main()
4
esempio C su costrutto switch: è possibile fare in modo che
venga eseguito il case 0? (senza modificare il codice!)
A.A. 2008–2009
34 / 37
Prossima lezione
tecniche di disassembly
installare IDA Pro!
versione freeware:
http://www.hex-rays.com/idapro/idadownfreeware.htm
A.A. 2008–2009
35 / 37
Bibliografia I
E. Eilam.
Reversing: Secrets of Reverse Engineering.
Wiley Publishing, Inc., 2005.
M. Pietrek.
An In-Depth Look into the Win32 Portable Executable File Format – Part 1.
MSDN Magazine, 2002.
M. Pietrek.
An In-Depth Look into the Win32 Portable Executable File Format – Part 2.
MSDN Magazine, 2002.
TIS Committee.
Tool Interface Standard (TIS) Executable and Linking Format (ELF)
Specification Version 1.2.
May 1995.
A.A. 2008–2009
36 / 37
Domande?
A.A. 2008–2009
37 / 37

Reverse engineering: executable file format

Transcript

Documenti analoghi

Reverse engineering: executable file format

Bepi Colombo Prize 2008

Meeting progetto CIAK!

276) PREGHIERA A SAN ROBERTO BELLARMINO

Reverse engineering: debugging

FTP Tutorial - KossaK

slides

curriculum Roberto Lucanero2

Natzweiler

Ai Dipendenti ASIRobicon S.p.A Oggetto: High Voltage Engineering

Sicurezza delle applicazioni web: attacchi web

Copia di Bajevic - Dipartimento di Lettere e Filosofia