🧛 [ 繁體中文 | English version ] 前言 反組譯器的出現，對於逆向工程師而言是一大福音，但對於惡意程式開發者以及商業軟體的開發商而言則未必。因此，他們也開始研究反組譯器的算法以及如何針對反組譯器的算法進行攻擊或混淆，使反組譯器失去正常的工作能力。這樣的技術，我們便稱之為「反反組譯（Anti-Disassembly）」。 本文旨在探討各種反反組譯的原理以及其應對方案。在這過程中，我們會使用 Binary Ninja 和 IDA 兩種商業反組譯器（反編譯器）[1] 來觀察我們反反組譯的成效。 反組譯器的工作原理 反組譯器的目標，就是透過讀取 Machine code 並將其轉換回組合語言，使得逆向工程師可以更好地理解程式碼。 其中有兩種比較常見的反組譯算法，線性掃描（Linear Sweep）和遞迴下降（Recursive Descent）。我們將會深入兩種不同的反組譯器算法，並討論各自的優缺點。 Linear Sweep 正如同字面意思，線性掃描的算法就是線性的去遍歷一個執行檔的所有機器碼，並將它們轉回組合語言。一些比較簡單小巧、基礎的反組譯器就是使用這種算法，例 ...

🧛 [ 繁體中文 | English version ] Preface The advent of disassemblers has been a great blessing for reverse engineers, but not necessarily for malware authors and commercial software vendors. As a result, they have also started to study disassembler algorithms and explore how to attack or obfuscate these algorithms so that disassemblers can no longer function correctly. Such techniques are collectively referred to as anti-disassembly. This article aims to explore the principles behind various anti-d ...

走在時代前沿的前言 最後一天了大家，讓我們快點開始，接續著昨天介紹的 Hell’s Gate 中的結構體開始，來把 Hell’s Gate 講完吧！ 完整程式碼可於此處找到：https://black-hat-zig.cx330.tw/Advanced-Malware-Techniques/Syscalls/hells_gate/ 疊甲 中華民國刑法第 362 條：「製作專供犯本章之罪之電腦程式，而供自己或他人犯本章之罪，致生損害於公眾或他人者，處五年以下有期徒刑、拘役或科或併科六十萬元以下罰金。」 本系列文章涉及多種惡意程式的技術，旨在提升個人技術能力與資安意識。本人在此強烈呼籲讀者，切勿使用所學到的知識與技術從事任何違法行為！ Zig 版本 本系列文章中使用的 Zig 版本號為 0.14.1。 Hell’s Gate 在我們昨天看完 Hell’s Gate 中會用到的結構體之後，今天就可以來看一下 Hell’s Gate 裡面會用到的函數了。如果還沒有看昨天的文章，可以先去看一下昨天的文章。 再次說明，我們這邊看的實作方式是出自於 Hell’s Gate 論文裡面的原始實作方式 ...

走在時代前沿的前言 嗨嗨大家好，倒數第二天！昨天跟大家介紹了 Heaven’s Gate 的技術，今天要來介紹一個名稱跟它很像，但是八竿子打不著的 Hell’s Gate 技術啦！ 本來是打算一篇寫完的，但寫著寫著發現篇幅有點過長，就把它拆成上下兩篇吧！今天的內容主要會是 Hell’s Gate 的一些前情提要，然後稍微先看一下 Hell’s Gate 中會使用到的結構體。至於 Hell’s Gate 的詳細實作方式還有 Zig 的完整程式碼會於明天的文章中。 話說今天已經是倒數第二天了，沒想到自己真的會完賽，感謝陪我到這邊的各位，希望大家都有收穫！ 疊甲 中華民國刑法第 362 條：「製作專供犯本章之罪之電腦程式，而供自己或他人犯本章之罪，致生損害於公眾或他人者，處五年以下有期徒刑、拘役或科或併科六十萬元以下罰金。」 本系列文章涉及多種惡意程式的技術，旨在提升個人技術能力與資安意識。本人在此強烈呼籲讀者，切勿使用所學到的知識與技術從事任何違法行為！ Zig 版本 本系列文章中使用的 Zig 版本號為 0.14.1。 Windows 的系統呼叫 系統呼叫，又稱為系統調用（syste ...

走在時代前沿的前言 Ayo 是我 CX330！最後三天啦！天啊真的是一路寫來覺得挺辛苦的，很敬佩每一位完賽的前輩們，用自己的肝來換大家的學習進步，太感謝大家了。 在前兩天中，我們實作了一個 Binary packer。今天，我們要來看一下比較進階的一個惡意程式技術：Heaven’s Gate。 那就讓我們廢話不多說，開始吧！ 完整程式碼可於此處找到：https://black-hat-zig.cx330.tw/Advanced-Malware-Techniques/Process-Injection/Heavens-Gate/heavens_gate/ 疊甲 中華民國刑法第 362 條：「製作專供犯本章之罪之電腦程式，而供自己或他人犯本章之罪，致生損害於公眾或他人者，處五年以下有期徒刑、拘役或科或併科六十萬元以下罰金。」 本系列文章涉及多種惡意程式的技術，旨在提升個人技術能力與資安意識。本人在此強烈呼籲讀者，切勿使用所學到的知識與技術從事任何違法行為！ Zig 版本 本系列文章中使用的 Zig 版本號為 0.14.1。 WoW64 子系統 WoW64 的全名叫做 Windows 3 ...

走在時代前沿的前言 Ayo 各位我回來了。昨天我們已經看了這個 Packer 是如何偵測執行檔的架構跟格式，也看了它的加密邏輯，今天我們要繼續把這個 Packer 給做完囉！ 如果還沒有看過上篇的，可以先去看看上篇，不然可能會不太完整。今天主要會來看它的 Stub 的實作以及 Packer 本身的邏輯，然後最後來看一下整個 build.zig 是如何被撰寫的。 完整程式碼可於此處找到：https://github.com/CX330Blake/ZYRA 疊甲 中華民國刑法第 362 條：「製作專供犯本章之罪之電腦程式，而供自己或他人犯本章之罪，致生損害於公眾或他人者，處五年以下有期徒刑、拘役或科或併科六十萬元以下罰金。」 本系列文章涉及多種惡意程式的技術，旨在提升個人技術能力與資安意識。本人在此強烈呼籲讀者，切勿使用所學到的知識與技術從事任何違法行為！ Zig 版本 本系列文章中使用的 Zig 版本號為 0.14.1。 Stub 的實作 這邊複習一下，Stub 會用來在運行的時候解密原始的執行檔，並將其 Drop 到某個暫時的資料夾，然後執行原始執行檔並在執行後刪除它。所以可以把這 ...

走在時代前沿的前言 哈囉大家，雙十節快樂！這兩天要來自製一個 Binary Packer！如果不知道 Packer 是什麼或是想跟著一起實作的話，就讓我們繼續看下去吧！ 對了，這個專案叫做 ZYRA，有放在我的 GitHub 上，連結我會丟在下面，歡迎 PR。 （ZYRA 的全名是 ZYRA: Your Runtime Armor，沒錯又是遞迴 XD） 完整程式碼可於此處找到：https://github.com/CX330Blake/ZYRA 疊甲 中華民國刑法第 362 條：「製作專供犯本章之罪之電腦程式，而供自己或他人犯本章之罪，致生損害於公眾或他人者，處五年以下有期徒刑、拘役或科或併科六十萬元以下罰金。」 本系列文章涉及多種惡意程式的技術，旨在提升個人技術能力與資安意識。本人在此強烈呼籲讀者，切勿使用所學到的知識與技術從事任何違法行為！ Zig 版本 本系列文章中使用的 Zig 版本號為 0.14.1。 Packer 簡介 Packer 是一個用來包裝執行檔的技術，核心的目的在於隱藏原始程式內容，增加逆向工程師的分析難度。這個過程中可能涉及加密、混淆、壓縮、編碼等技術。 ...