创世通网站建设,做网站什么语言,成都建设网站标化最新表格,wordpress 修改widget近日举办的看雪安全开发者峰会上#xff0c;阿里安全猎户座实验室首度向外界展示了最新的研究成果——“自动逆向机器人”。该机器人可以像医生一样“望闻问切”#xff0c;对程序进行显微镜级别的勘察#xff0c;并完整“回放”其运作过程#xff0c;因此#xff0c;可以…近日举办的看雪安全开发者峰会上阿里安全猎户座实验室首度向外界展示了最新的研究成果——“自动逆向机器人”。该机器人可以像医生一样“望闻问切”对程序进行显微镜级别的勘察并完整“回放”其运作过程因此可以侦测出程序中的漏洞或隐蔽行为。据悉该机器人被命名为TimePlayer。 阿里安全猎户座实验室负责人杭特认为逆向能力是安全从业人员必须具备的基本功。杭特打了一个形象的比方他介绍说“逆向”就如同医生看病一样通过望闻问切、各种化验甚至是CT核磁共振这些手段都是为了一个目的弄清楚病因。对程序进行逆向就是为了弄清楚程序究竟在做什么。 杭特指出在当前的安全行业逆向工作基本都是不断重复的、纯体力的。而阿里安全猎户座实验室TimePlayer的最大价值就是可以将安全从业人员逆向工作的大部分能力完全自动化。 阿里安全猎户座实验室研究人员弗为在看雪论坛上的演讲中称TimePlayer集“摄像机”、“播放机”和下“显微镜”三大功能于一身。如果要分析一个程序只需在TimePlayer中运行一次就可以它会把该程序所有的行为全部忠实地记录下来而且不会遗漏任何细节。不仅如此TimePlayer还可以将“拍摄”的内容进行向前放、向后放、快放、慢放能够放大任意处的细节并且追踪任意的目标。最重要的是TimePlayer对于程序行为的勘察粒度达到了指令级别。 阿里安全猎户座实验室研究人员弗为展示“自动逆向机器人”TimePlayer “TimePlayer正如其名一样摄像和播放的结果一模一样要做到这点是非常有挑战性的。”阿里安全猎户座实验室研究人员弗为表示“现在随便一个APP都有几十亿条指令如果要逆向这些APPTimePlayer一条指令都不会遗漏。” 弗为在演讲中以臭名昭著的WannaCry勒索病毒为例现场演示了如何通过TimePlayer在系统内核中精确定位找回RSA私钥。据弗为介绍由于WannaCry勒索病毒刻意地删除了本机的“私钥”因此理论上只能掏钱向勒索者获取这曾经使得诸多安全厂商束手无策但阿里安全猎户座实验室的研究人员通过TimePlayer独家发现“私钥”实际上在用户态和内核态均有残留且相较于暴力搜索用户态内存方法精准的内核态残留提取更为稳定。 另外弗为还演示了如何通过TimePlayer逆向超级复杂的文件格式。弗为在演讲中表示即便是逆向DOC这类超级复杂的文件格式也是轻而易举——只需要把DOC文档放到TimePlayer中打开就能自动化地对文件进行分析。以前要好几个人耗费数年时间的分析工作TimePlayer几天时间就可以搞定而且无需人员参与。 众所周知***是个对抗的过程。为了对抗人工逆向防护人员开发了各种各样的工具和产品提升逆向难度其中最有名的叫做“虚拟机壳”。弗为在演讲中也演示了轻松突破这种“迷魂阵”的方法那就是用TimePlayer。 阿里安全猎户座实验室负责人杭特指出在全球范围来看TimePlayer的能力是领先的、独一无二的。它出现可以说填补了安全行业的一大空白同时也证明二进制的黑盒性质代码混淆的障眼法终有失效的一天 。转载于:https://blog.51cto.com/11180717/2148985
