Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Decompilation

Moscow 2600
November 06, 2020
Research
0
38

 Decompilation

Moscow 2600

November 06, 2020
Tweet

More Decks by Moscow 2600

See All by Moscow 2600
Ivan Loskutov - Poor man’s serial debugging
2600
1
40
Sergey Sobko - Динамические оверлейные сети: передача трафика L3 через L7 с помощью Clojure
2600
0
360
Sergey Sobko - Жизнь одного плагина для Emacs: от идеи до попадания в меню M-x package-install
2600
0
220
Ilya Rusanen- Ansible, если ты не админ
2600
0
49
Sergey Sobko - Грабим почту, трекеры задач и репозитарии с Clojure
2600
0
250
Ilya Rusanen - Bye world, hi Docker
2600
0
55
Ilya Rusanen - Burp Suite + Python = <3
2600
0
67

Other Decks in Research

See All in Research
Mean-Variance RL (JAFEE 2023)
masakat0
1
260
MultiInstruct: Improving Multi-Modal Zero-Shot Learning via Instruction Tuning(最先端NLP勉強会2023)
kuehara
0
250
大規模言語モデル入門 / LLM introduction (SES2023)
kyoun
6
2k
論文紹介: "Making Pre-trained Language Models End-to-end Few-shot Learners with Contrastive Prompt Tuning (WSDM 2023)"
keyakkie
0
110
Hyena Hierarchy: Towards Larger Convolutional Language Models
hpprc
1
770
Learning in games: ゲーム理論とオンライン学習
bakanaouji
1
370
最先端NLP勉強会2023
miyuoba
2
150
Relatório | Série "10 anos depois"
sumauma
1
130
LLM Fine-Tuning (東大松尾研LLM講座 Day5資料)
schulta
13
4.4k
Google Cloud Next’23「Title:出店ブースで10社以上におすすめ機能を質問してきた」
yasumuusan
0
310
Quick Multi-Robot Motion Planning by Combining Sampling and Search
kei18
0
270
説明の偏り・見せ方が推薦結果の選択にどう影響するか
kuri8ive
3
720

Featured

See All Featured
Become a Pro
speakerdeck
PRO
8
3.5k
How GitHub Uses GitHub to Build GitHub
holman
466
280k
Raft: Consensus for Rubyists
vanstee
130
5.9k
GitHub's CSS Performance
jonrohan
1021
440k
Ruby is Unlike a Banana
tanoku
93
9.9k
Why Our Code Smells
bkeepers
PRO
329
56k
Practical Orchestrator
shlominoach
179
9.3k
The Brand Is Dead. Long Live the Brand.
mthomps
48
5.1k
Bootstrapping a Software Product
garrettdimon
PRO
299
110k
Java REST API Framework Comparison - PWX 2021
mraible
PRO
18
6.2k
Web development in the modern age
philhawksworth
200
9.8k
How To Stay Up To Date on Web Technology
chriscoyier
780
250k

Transcript

  1. Декомпиляторы и как они
    работают
    руководство для начинающих

    View Slide

  2. Что такое декомпилятор?

    View Slide

  3. Структура современного компилятора
    • Front-end генерирует ПП из
    исходного кода.

    • Middle-end оптимизирует и
    преобразует ПП в более
    низкоуровневую форму.

    • Back-end генерирует код для
    целевой архитектуры.
    https://en.wikibooks.org/wiki/GNU_C_Compiler_Internals/GNU_C_Compiler_Architecture
    https://blog.gopheracademy.com/advent-2018/llvm-ir-and-go/

    View Slide

  4. Структура декомпилятора

    View Slide

  5. Front-end
    • Дизассемблер преобразовывает инструкции в специфичное для
    архитектуры ПП,

    • Резолвер потока выполнения выделяет базовые блоки кода,

    • Лифтер "поднимает" вывод дизассемблера в архитектурно-
    независимое ПП, основываясь на информации и потоке выполнения.

    View Slide

  6. Middle-end
    • Производит анализ стека и на основе него генерирует локальные
    переменные,

    • На основе анализа потока данных предоставляет резонеру потока
    выполнения информацию о переходах, которую невозможно
    получить на этапе дизассемблирования,

    • Оптимизирует код для удаления лишних переменных,
    неиспользуемого кода и пр.,

    • Обнаруживает конструкции кода, соответствующие определённой
    семантике и заменяет их соответствующими выражениями.

    View Slide

  7. Пример

    View Slide

  8. Анализ потока данных и поток выполнения

    View Slide

  9. SSA-форма
    • Каждая переменная задаётся только один раз,

    • Если две версии значения достигают одного места, используется
    специальная Φ-функция,

    • Позволяет ассоциировать с каждой переменной единственный набор
    значений.
    https://ru.wikipedia.org/wiki/SSA

    View Slide

  10. SSA-форма

    View Slide

  11. Различные подходы к созданию
    промежуточного представления
    • Графовое промежуточное представление (TurboFan, Sea of Nodes),

    • Линейное промежуточное представление,

    • Что-то среднее.

    View Slide

  12. Пример графового ПП (TurboFan)

    View Slide

  13. Пример линейного ПП (Binary Ninja)

    View Slide

  14. Пример чего-то среднего (IDA Pro)
    https://blog.ret2.io/2020/07/22/ida-pro-avx-decompiler/

    View Slide

  15. Различия в уровнях абстракции
    • LLIL, MLIL, HLIL в Binary Ninja,

    • 8 уровней "зрелости" микрокода в IDA Pro,

    • Конвейер в TurboFan.

    View Slide

  16. Что почитать?
    • Simple And Efficient Construction Of Static Single Assignment Form: https://pp.info.uni-karlsruhe.de/uploads/publikationen/braun13cc.pdf

    • Классическая Теория Компиляторов: http://rema44.ru/resurs/study/compiler1/Compiler1.pdf

    • Simplex Method in IDA Pro: https://www.hex-rays.com/blog/simplex-method-in-ida-pro/

    • Hacker's Delight: https://www.amazon.com/Hackers-Delight-2nd-Henry-Warren/dp/0321842685

    • 7 Days to Lift: A mission in microcode: https://blog.ret2.io/2020/07/22/ida-pro-avx-decompiler/

    • Decompiler internals: microcode: https://i.blackhat.com/us-18/Thu-August-9/us-18-Guilfanov-Decompiler-Internals-Microcode-wp.pdf

    • Hex-Rays microcode API vs. Obfuscating compiler: https://www.hex-rays.com/blog/hex-rays-microcode-api-vs-obfuscating-compiler/,

    • Список для чтения TruboFan: https://v8.dev/docs/turbofan

    • Writing An Optimizing IL Compiler, For Dummies, By A Dummy: https://blog.can.ac/2020/04/11/writing-an-optimizing-il-compiler-for-
    dummies-by-a-dummy/

    View Slide

  17. Вопросы?

    View Slide