Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Decompilation

Moscow 2600
November 06, 2020
Research
0
33

 Decompilation

Moscow 2600

November 06, 2020
Tweet

More Decks by Moscow 2600

See All by Moscow 2600
Ivan Loskutov - Poor man’s serial debugging
2600
1
31
Sergey Sobko - Динамические оверлейные сети: передача трафика L3 через L7 с помощью Clojure
2600
0
310
Sergey Sobko - Жизнь одного плагина для Emacs: от идеи до попадания в меню M-x package-install
2600
0
170
Ilya Rusanen- Ansible, если ты не админ
2600
0
39
Sergey Sobko - Грабим почту, трекеры задач и репозитарии с Clojure
2600
0
210
Ilya Rusanen - Bye world, hi Docker
2600
0
49
Ilya Rusanen - Burp Suite + Python = <3
2600
0
59

Other Decks in Research

See All in Research
Openproxy型ハニーポット「Proxypot」
tatsui
0
190
[RecSys2022論文読み会]Bundle MCR: Towards Conversational Bundle Recommendation
okukenta
PRO
0
130
プロシージャ型処理を用いたステートレスな5Gコアネットワークの実現
hirokiwatanabe
0
210
CNNによる画像認識の基礎
sgnm
0
110
理科の固有性に関する基礎的研究―「自然科学の性質」と「歴史学の性質」の比較を中心として―/Nature of School Science(Rika): A Comparison of "Nature of Science" and "Nature of History"
unzaih
0
110
フィッシング対策セミナー2022講演資料 / antiphishing-seminar2022-hasegawa
ayakohasegawa
0
1k
動画像を入力とした深度推定のHW/SW協調設計によるFPGAベースの高速化手法 (ARC 2022/10)
hashi0203
0
220
Open science for health data, applying the scikit-learn recipe?
gaelvaroquaux
0
140
組込み機器へのROP攻撃の検証のためのプロセッサエミュレータを用いた調査 / IPSJHokkaido2022
yumulab
0
290
Semantic Shift Stability: Efficient Way to Detect Performance Degradation of Word Embeddings and Pre-trained Language Models
upura
0
820
Furm: 家具移動アプリケーションの提案 / IOTS2022-tsujinaga
yumulab
0
210
FADEC: FPGA-based Acceleration of Video Depth Estimation by HW/SW Co-design (FPT 2022)
hashi0203
0
160

Featured

See All Featured
The World Runs on Bad Software
bkeepers
PRO
59
5.7k
Designing for Performance
lara
600
65k
Reflections from 52 weeks, 52 projects
jeffersonlam
338
18k
The MySQL Ecosystem @ GitHub 2015
samlambert
240
11k
Learning to Love Humans: Emotional Interface Design
aarron
263
38k
Easily Structure & Communicate Ideas using Wireframe
afnizarnur
182
15k
ReactJS: Keep Simple. Everything can be a component!
pedronauck
657
120k
It's Worth the Effort
3n
177
26k
Build your cross-platform service in a week with App Engine
jlugia
221
17k
Build The Right Thing And Hit Your Dates
maggiecrowley
22
1.4k
Music & Morning Musume
bryan
37
4.6k
Debugging Ruby Performance
tmm1
67
11k

Transcript

  1. Декомпиляторы и как они работают руководство для начинающих

  2. Что такое декомпилятор?

  3. Структура современного компилятора • Front-end генерирует ПП из исходного кода.

    • Middle-end оптимизирует и преобразует ПП в более низкоуровневую форму. • Back-end генерирует код для целевой архитектуры. https://en.wikibooks.org/wiki/GNU_C_Compiler_Internals/GNU_C_Compiler_Architecture https://blog.gopheracademy.com/advent-2018/llvm-ir-and-go/

  4. Структура декомпилятора

  5. Front-end • Дизассемблер преобразовывает инструкции в специфичное для архитектуры ПП,

    • Резолвер потока выполнения выделяет базовые блоки кода, • Лифтер "поднимает" вывод дизассемблера в архитектурно- независимое ПП, основываясь на информации и потоке выполнения.

  6. Middle-end • Производит анализ стека и на основе него генерирует

    локальные переменные, • На основе анализа потока данных предоставляет резонеру потока выполнения информацию о переходах, которую невозможно получить на этапе дизассемблирования, • Оптимизирует код для удаления лишних переменных, неиспользуемого кода и пр., • Обнаруживает конструкции кода, соответствующие определённой семантике и заменяет их соответствующими выражениями.

  7. Пример

  8. Анализ потока данных и поток выполнения

  9. SSA-форма • Каждая переменная задаётся только один раз, • Если

    две версии значения достигают одного места, используется специальная Φ-функция, • Позволяет ассоциировать с каждой переменной единственный набор значений. https://ru.wikipedia.org/wiki/SSA

  10. SSA-форма

  11. Различные подходы к созданию промежуточного представления • Графовое промежуточное представление

    (TurboFan, Sea of Nodes), • Линейное промежуточное представление, • Что-то среднее.

  12. Пример графового ПП (TurboFan)

  13. Пример линейного ПП (Binary Ninja)

  14. Пример чего-то среднего (IDA Pro) https://blog.ret2.io/2020/07/22/ida-pro-avx-decompiler/

  15. Различия в уровнях абстракции • LLIL, MLIL, HLIL в Binary

    Ninja, • 8 уровней "зрелости" микрокода в IDA Pro, • Конвейер в TurboFan.

  16. Что почитать? • Simple And Efficient Construction Of Static Single

    Assignment Form: https://pp.info.uni-karlsruhe.de/uploads/publikationen/braun13cc.pdf • Классическая Теория Компиляторов: http://rema44.ru/resurs/study/compiler1/Compiler1.pdf • Simplex Method in IDA Pro: https://www.hex-rays.com/blog/simplex-method-in-ida-pro/ • Hacker's Delight: https://www.amazon.com/Hackers-Delight-2nd-Henry-Warren/dp/0321842685 • 7 Days to Lift: A mission in microcode: https://blog.ret2.io/2020/07/22/ida-pro-avx-decompiler/ • Decompiler internals: microcode: https://i.blackhat.com/us-18/Thu-August-9/us-18-Guilfanov-Decompiler-Internals-Microcode-wp.pdf • Hex-Rays microcode API vs. Obfuscating compiler: https://www.hex-rays.com/blog/hex-rays-microcode-api-vs-obfuscating-compiler/, • Список для чтения TruboFan: https://v8.dev/docs/turbofan • Writing An Optimizing IL Compiler, For Dummies, By A Dummy: https://blog.can.ac/2020/04/11/writing-an-optimizing-il-compiler-for- dummies-by-a-dummy/

  17. Вопросы?