Анализ методов обфускации

Коробейников Анатолий Григорьевич доктор технических наук профессор, Санкт-Петербургский филиал Федерального государственного бюджетного учреждения науки Института земного магнетизма, ионосферы и распространения радиоволн им. Н.В.Пушкова Российской академии наук. 199034, Россия, г. Санкт-Петербург, ул. Менделеевская, 1 Korobeinikov Anatolii Grigor'evich Doctor of Technical Science professor, Pushkov institute of terrestrial magnetism, ionosphere and radio wave propagation of the Russian Academy of Sciences St.-Petersburg Filial 199034, Russia, g. Saint Petersburg, ul. Mendeleevskaya, 1 Korobeynikov_A_G@mail.ru Другие публикации этого автора     Кутузов Илья Михайлович аспирант, кафедра проектирования и безопасности компьютерных систем, Санкт-Петербургский национальный исследовательский университет информационных технологий, механики и оптики 197101, Россия, г. Санкт-Петербург, Кронверский проспект, 49 Kutuzov Il'ya Mikhailovich graduate student, Department of Design and Security of Computer Systems, St. Petersburg National Research University of Information Technologies, Mechanics and Optics 197101, Russia, St. Petersburg, Kronverkskiy prospect, d. 49 formalizator@gmail.com Другие публикации этого автора

Колесников Павел Юрьевич аспирант, , Санкт-Петербургский национальный исследовательский университет информационных технологий, механики и оптики 197101, Россия, г. Санкт-Петербург, Кронверкский пр-кт, 49 Kolesnikov Pavel Yur'evich graduate student, St. Petersburg National Research University of Information Technologies, Mechanics and Optics 197101, Russia, g. Saint Petersburg, Kronverkskii pr-kt, 49 Korobeynikov_A_G@mail.ru

В настоящее время имеются специальные программы, производящие обфускацию^[1], называемые обфускаторами, которые решают поставленную задачу по-разному. Например, одни занимаются интерпретируемыми языками типа PHP и изменяют исходные тексты (удаляют комментарии, дают переменным бессмысленные имена, шифруют строковые константы и т.д.), другие изменяют байт-код виртуальных машин Java и .NET, что технически сделать намного труднее. Более развитые обфускаторы изменяют машинный код, вставляя бессмысленные инструкциями. Кроме того они могут делать структурные или математические преобразования, изменяющие программу до неузнаваемости.

Обфускация не является алгоритмом шифрования и не является алгоритмом передачи данных. Поэтому она в международном праве не запрещена и не стандартизирована. Кроме того, нельзя ограничить обфускацию по длине ключа, ввиду отсутствия такового.

Таким образом, обфускацию можно применять, например, если требуется защитить какой-то продукт, но использование шифрования запрещено или недостаточно для сокрытия информации.

В случаях конфликта по поводу авторских прав, при запутывании последовательности символов, достаточно легко доказать своё авторство. Это обусловлено тем, что злоумышленник не сможет получить исходный текст при анализе запутанного. Даже при использовании надёжных обфусцирующих алгоритмов в тексте всё равно останутся обфусцированные места. Кроме того, обфускация может производиться практически на любых уровнях. От исходных текстов до машинных команд, включая промежуточный код. В этом случае злоумышленнику будет крайне трудно изъять из кода программы все заложенные не декларированные особенности.

Рассмотрим основные методы обфускации.

Первые, и самые простые, обфускаторы являются давно известными полиморфными генераторы. Они за небольшое время генерируют бесполезные команды вида nop, xchg reg,reg, никогда не выполняющимися переходами типа xor reg,reg/jnz junk, где xor — значимая команда, а junk — «мертвый код», и вставляя их в значимый код. Конечно, при этом происходит некоторая потеря эффективности, но это не критично.

Современные дизассемблеры не могут эффективно удалять «мусор» в автоматическом режиме, а проанализировать мегабайты кода вручную нереально. Но идеи как это делать имеются, например наложение маршрута трассировки на графы зависимостей по данным.

Более сложные обфускаторы «перемешивают» код, закручивая поток управления в запутанную спираль условных/безусловных переходов, использующих технику «перекрытия» команд. Некоторые байты могут принадлежать трем машинным инструкциям, что «ослепляет» дизассемблеры, заставляя их генерировать неполный и неправильный листинг.

Для противодействия такой технологии можно применить трассировщик, генерирующий листинг реально выполняемых машинных команд. При этом заодно избавимся от части мусора и «мертвого» кода.

Изощренные обфускаторы отслеживать зависимость по данным, внедряя осмысленные инструкции с «нулевым эффектом».

Сложные обфускаторы могут временно сохранять регистр на стеке, а затем, многократно изменив его состояние, восстановить прежнее значение. Понятно, что такие действия вносят побочные эффекты (как минимум, воздействуют на флаги), и обфускатору необходимо совершить множество проверок, чтобы убедиться в работоспособности защищаемой программы.

Разработка качественного и надежного запутывателя – сложная инженерная задача, но потраченное время стоит того^[2]. Бесполезность «инструкций с нулевым эффектом» уже не распознается визуально, и обычный трассер тут ничем не поможет. Необходимо трассировать не только поток управления, но и поток данных, то есть отслеживать реальные изменения значений регистров/ячеек памяти, для чего обычно используются графы. Как только граф замыкается сам на себя, все «лишние» операции над данными удаляются и остается только суть.

Более совершенные обфускаторы выполняют математические преобразования программного кода. Например, команда «a++» может быть заменена на эквивалентную ей конструкцию a += abs(exp(I*x)), где abs(exp(I*x)) – модуль экспоненциального представления комплексной величины, вычисляемый при помощи разложения в ряд Тейлора. Распознать в такой записи исходную формулу очень трудно.

Классические трассировщики данных уже не справляются с такой задачей: в этом случае граф не замыкается сам на себя и избыточность, внесенная обфускатором, не удаляется.

При выполнении обфускации зачастую ускоряется время работы и размер программы. Так, например, минимизация JavaScript приводит как к уменьшению размера программы, так и к ускорению её интерпретации.

В качестве примера используем язык Java. Сначала создадим пример исходного текста программы.

В обфусцированном варианте данный код выглядит следующим образом:

public static void a1(ArrayList a2){

for(int a3=0;a3<a2.size(); a3++) a2.set(a3, a2.get(a3)*0.1);

}

Как видно из примера, с ходу, не зная назначения кода крайне трудно понять работу данной функции. На этом примере также можно увидеть как обфускация уменьшает использование памяти. В необфусцированном коде выделяется память под счётчик, под множитель и при каждой итерации выделяется память под результат. В обфусцированном варианте данная память не требуется, так как результат помещается в исходные ячейки памяти.

Дальнейшее развитие методов обфускации ставит перед хакерам трудные задачи по взлому программного обеспечения. С ходу можно назвать трансляторы С-кода в байт-код Машин Тьюринга, Стрелок Пирса, Сетей Петри и многих других примитивных машин. Производительности современных процессоров уже достаточно. В практическом плане это означает бесперспективность анализа кода стандартным методам. Если теоретически возможно (но практически очень и очень сложно) вычистить мусор и удалить избыточность, внесенную «запутывателями», то «распутать» байт-код Сетей Петри уже невозможно.

Далее, обфускация создает новую ситуацию в антивирусной индустрии. Чтобы взломать программу, анализировать ее алгоритм в общем-то необязательно. Зато обнаружить зловредный код (он же malware) без этого уже не удастся!

И последнее, комбинирование стеганографии и обфускации в программных продуктах по времени расшифровывания может сравниваться с криптоанализом шифротекста. Поэтому исследование и разработка алгоритмов для задач в сфере информационной безопасности является перспективным направлением исследований.

Просто выделите и скопируйте ссылку на эту статью в буфер обмена. Вы можете также попробовать найти похожие статьи