eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
обновлён 2 декабря!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: stronglogic (+4 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Софт, инструменты —› Ariadne Framework & Deobfuscator
. 1 . 2 . 3 . >>
Посл.ответ Сообщение


Ранг: 1015.9 (!!!!)
Статус: Участник

Создано: 29 ноября 2011 23:50 · Поправил: reversecode New!
Цитата · Личное сообщение · #1

http://ariadne.group-ib.ru/ru/

Ariadne – это фреймворк для всех, кто занимается reverse engineering и смежными задачами (анализ вирусов, защита ПО и ее анализ, forensic и т.д.). Во всех этих случаях Ariadne позволит сэкономить существенную часть времени за счет предоставления решения нудных типовых задач. А ведь создание кода, решающего эти нудные типовые задачи, может занимать до 80% времени! При этом никто не застрахован от повторения уже неоднократно совершенных кем- то ошибок, исправление которых отнимает время. Ariadne позволит сэкономить время и творческий потенциал для решения действительно инновационных задач.

http://ariadne.group-ib.ru/ru/download
демо версия ariadne.zip

http://www.slideshare.net/dschelkunov/on-deobfuscation-in-practice
какая то презентация, если кто может скачайте и переложите на нормальный фо

ps мне почему то кажется это работа кого то с форума, не?

| Сообщение посчитали полезным: mak, vden


Ранг: 281.6 (наставник)
Статус: Участник
Destroyer of protectors

Создано: 30 ноября 2011 00:12 New!
Цитата · Личное сообщение · #2

reversecode пишет:
какая то презентация, если кто может скачайте и переложите на нормальный фо

нормальный фо

по ходу сайтег ток появился, купить даже пока невозможно, интересно сколько стоит эт чудо.

| Сообщение посчитали полезным: mak


Ранг: 112.9 (ветеран)
Статус: Участник

Создано: 30 ноября 2011 14:39 · Поправил: vden New!
Цитата · Личное сообщение · #3

.

{ Атач доступен только для участников форума } - ondeobfuscation-111128103540-phpapp01.pdf

Ранг: 456.3 (мудрец)
Статус: Участник
Android Reverser

Создано: 30 ноября 2011 15:17 New!
Цитата · Личное сообщение · #4

Скомпиляйте кто-нить гуи для библы с возможностью выбора файла

Ранг: 3.3 (гость)
Статус: Участник

Создано: 30 ноября 2011 19:34 · Поправил: Ariadne New!
Цитата · Личное сообщение · #5

SaNX пишет:
Скомпиляйте кто-нить гуи для библы с возможностью выбора файла


Очень скоро выложим плагин для IDA 6.1, который был показан на -->0nights <--.


Ранг: 1015.9 (!!!!)
Статус: Участник

Создано: 30 ноября 2011 19:36 · Поправил: reversecode New!
Цитата · Личное сообщение · #6

.pps само убийство)) неужели в флеше или pdf сделать нельзя было?

Ariadne пишет:
Очень скоро выложим плагин для IDA 6.1

тем кто небыл на той конфе, можно какието слады поглядеть хотябы?
что бы понимать о чем речь идёт

Ariadne пишет:
pdf парой постов выше

)) pps была же днём, точно помню

Ранг: 3.3 (гость)
Статус: Участник

Создано: 30 ноября 2011 20:30 New!
Цитата · Личное сообщение · #7

.pps само убийство)) неужели в флеше или pdf сделать нельзя было?


pdf парой постов выше

reversecode пишет:
тем кто небыл на той конфе, можно какието слады поглядеть хотябы?
что бы понимать о чем речь идёт


Та pdf-ка - презентация с конфы. Семплы доступны здесь, как и вся документация. Сегодня-завтра выложим видео для семплов и плагин.


Ранг: 520.5 (!)
Статус: Участник
Победитель турнира 2010

Создано: 30 ноября 2011 21:07 New!
Цитата · Личное сообщение · #8

Ariadne пишет:
вся документация


Понятно, что продукт ориентирован прежде всего за бугор. По этому документация на вражеском. Но продукт все же exUSSR и может и документация (хотя бы в черне) есть на великом и могучем. Все понятно и так, но все же для школоты?

Ранг: 3.3 (гость)
Статус: Участник

Создано: 30 ноября 2011 21:35 New!
Цитата · Личное сообщение · #9

OKOB пишет:
Но продукт все же exUSSR и может и документация (хотя бы в черне) есть на великом и могучем.


Если честно, на русском есть, но не вся, не отформатирована и не в последней версии Более половины сразу создавалось на английском. Но мы уже думаем над тем, чтобы иметь и русский вариант всей документации.

Ранг: 580.2 (!)
Статус: Модератор

Создано: 30 ноября 2011 21:52 New!
Цитата · Личное сообщение · #10

Ariadne
Может забить? Буржуйский большинство знает, кто не знает может в гугль-транслейт закинуть.
Лучше приложить усилия на совершенствование продукта.

Ранг: 112.9 (ветеран)
Статус: Участник

Создано: 30 ноября 2011 22:53 · Поправил: vden New!
Цитата · Личное сообщение · #11

reversecode пишет:
)) pps была же днём

Все верно, оригинал был в pps. Просто подумал что не у всех есть Power Point и сохранил в pdf.

По теме: проект считаю нужным и перспективным. Сам сейчас занимаюсь похожим вопросом, но для ARM.
Также неплохо бы больше примеров использования API.


Ранг: 1015.9 (!!!!)
Статус: Участник

Создано: 30 ноября 2011 23:04 · Поправил: reversecode New!
Цитата · Личное сообщение · #12

я вот не совсем понял или пропустил где описано но
В AIR Wave Deobfuscation Technology используется два метода деобфускации – статический и динамический. Статический метод более приближен к классическим подходам из теории компиляторов. Динамический метод основан на эмуляции IR инструкций и дает более мощные результаты там, где не справляется статический

Хотим отметить, что для предотвращения нелегитимного использования фреймворка Ariadne в поставку включен только деобфускатор трассы

так в демке статический или динамический?
то что демка ограничена до x86 и без крутого мемори аллокатора - понятно

еще вопрос
плагин для IDA будет работать для любого x86 кода? или только для x86 кода PE файлов?
т.е. учитывает или игнорирует ли плагин тип файла?

Ранг: 3.3 (гость)
Статус: Участник

Создано: 30 ноября 2011 23:23 · Поправил: Ariadne New!
Цитата · Личное сообщение · #13

reversecode пишет:
так в демке статический или динамический?


В демке статический деобфускатор трассы. Динамический будет в полной версии.

цитата с нашего сайта:

Demo version (alpha). Please note that this is an alpha version so the interface or structures may slightly change in the release version.

x86 only
Commercial usage restrictions
Static trace deobfuscation only
Ariadne IR trace decompiler only (you can decompile from binary code into Ariadne IR a trace only)
Memory manager has a memory usage limit (2Gb)

Те примеры, что у нас на сайте, являются примерами работы динамического дееобфускатора. Он позволяет более эффективно работать с указателями и там вообще много чего вкусного есть

еще вопрос
плагин для IDA будет работать для любого x86 кода? или только для x86 кода PE файлов?
т.е. учитывает или игнорирует ли плагин тип файла?


Пока только PE, логика работы с бинарями есть, но мы включим ее несколько позже. На самом деле IDA мы используем для удобства задания входных данных и как средство вывода результата. Т.е. мы сами открываем файл (пока только PE), сами его парсим, декомпилируем нужный участок в IR (трасса) и делаем деобфускацию. Результат выводим в окошко IDA. Это все в доке по плагину будет. Думаем, завтра, если не случится чего-то непредвиденного


Ранг: 1015.9 (!!!!)
Статус: Участник

Создано: 30 ноября 2011 23:26 New!
Цитата · Личное сообщение · #14

понятно
а что обозначает
Хотим отметить, что для предотвращения нелегитимного использования фреймворка Ariadne в поставку включен только деобфускатор трассы
?
что обратно в .бинари код невозможно будет запаковать?
тоесть результат работы демо будет некий txt файл псевдо asm?

Ранг: 3.3 (гость)
Статус: Участник

Создано: 1 декабря 2011 00:03 New!
Цитата · Личное сообщение · #15

reversecode пишет:
что обратно в .бинари код невозможно будет запаковать?
тоесть результат работы демо будет некий txt файл псевдо asm?


В случае трассы можно запаковать трассу В Ariadne есть логика перевода из IR обратно в asm, а точнее даже в буфер бинарный, на который можно передать управление. Можно и текстовое представление получить.
Если честно, нет особых преград для добавлении логики деобфускации полного покрытия. У нас ничего не заточено специально под трассу в плане оптимизации\деобфускации. Вопрос только в том, стоит ли отдавать в паблик полноценный деобфускатор с возможностью сохранения результата обратно, да еще и с сохранением логики работы заоптимизированного кода

| Сообщение посчитали полезным: r_e



Ранг: 1015.9 (!!!!)
Статус: Участник

Создано: 1 декабря 2011 00:06 New!
Цитата · Личное сообщение · #16

подождём значит завтра плагина для IDA, что бы пощупать-понять
а то у меня недопонимание что же можно, а что не получится

Ранг: 580.2 (!)
Статус: Модератор

Создано: 1 декабря 2011 00:48 New!
Цитата · Личное сообщение · #17

Ariadne
Прям проект моей мечты =)
Если будет вменяемая ценовая политика для СНГ, может даже прикуплю.


Ранг: 658.6 (! !)
Статус: Участник
CyberMonk

Создано: 1 декабря 2011 14:53 · Поправил: mak New!
Цитата · Личное сообщение · #18

Ariadne

Если не хотите чтобы попало в паблик, тогда продажа под вопросом? Или покупка тоже урезанной будет ..

Есть возможность описывать свой код? Например я делаю с параметрами генерацию дизасм листинга, грубо говоря геню парсер или дизасм частично по правилам, чтобы разбирать любой код, это повышает гибкость самого двига .. то есть ИР может воспроизводить все что угодно ..

Расширенная работа с шаблонами возможна? Примитивный анализ хотябы ? А то методы это круто, но гибкость инструмента лучше пусть зависит от пользователя.

Возможность подключать свои оптимизации будет? Скриптовое сопровождение?

П.С. У меня есть файл, в целом публично выложенный, там граммотно сделанный обфускатор, размер файла 2 мегабайта, но под линь, интересно было бы посмотреть на результат работы. Может сделаете?


Ранг: 462.8 (мудрец)
Статус: Участник
Only One!

Создано: 1 декабря 2011 14:55 New!
Цитата · Личное сообщение · #19

Ariadne
Какая цена?

Ранг: 3.3 (гость)
Статус: Участник

Создано: 1 декабря 2011 15:49 · Поправил: Ariadne New!
Цитата · Личное сообщение · #20

mak пишет:
Если не хотите чтобы попало в паблик, тогда продажа под вопросом? Или покупка тоже урезанной будет ..

OnLyOnE пишет:
Ariadne
Какая цена


Продажи не под вопросом и должны стартовать в скором будущем. Сейчас идет окончательное определение стратегии и ценовой политики + мелкие доработки движка.

mak пишет:
Есть возможность описывать свой код? Например я делаю с параметрами генерацию дизасм листинга, грубо говоря геню парсер или дизасм частично по правилам, чтобы разбирать любой код, это повышает гибкость самого двига .. то есть ИР может воспроизводить все что угодно ..

Расширенная работа с шаблонами возможна? Примитивный анализ хотябы ? А то методы это круто, но гибкость инструмента лучше пусть зависит от пользователя.

Возможность подключать свои оптимизации будет? Скриптовое сопровождение?

Вот как-раз для этого то в том числе двиг и создавался - дать людям возможность свои техники применять, используя наше API. Скриптов пока нет. Если имеются в виду шаблончики , которые морф генерирует, то их у нас сейчас вообще никаких не забито, т.к. деобфускатор не шаблонный, но легко их задать при желании.

mak пишет:

П.С. У меня есть файл, в целом публично выложенный, там граммотно сделанный обфускатор, размер файла 2 мегабайта, но под линь, интересно было бы посмотреть на результат работы. Может сделаете?


На данный момент поддерживается только x86 PE, потому для Линкуса потребуются танцы с бубном. По поводу семплов, чтобы потестить, можно в личку тогда писать.


Ранг: 1015.9 (!!!!)
Статус: Участник

Создано: 1 декабря 2011 16:02 · Поправил: reversecode New!
Цитата · Личное сообщение · #21

а почему такая привязка к PE?
почему не raw code? там же как я понимаю дизассемблер уже есть?
тоесть логика скармливаем дизассемблеру начало и длинну блока, а потом производим действия по деобфускации

вообщем то незнаю как насчет готовой программы для полной деобфускации PE/ELF
но в демке для IDA хотелось бы что бы можно было поигратся с деобфускацией выделеных кусков кода

без привязки к формату файла

Ранг: 456.3 (мудрец)
Статус: Участник
Android Reverser

Создано: 1 декабря 2011 16:05 New!
Цитата · Личное сообщение · #22

Ariadne
ну а плаг-то где? седня же обещали


Ранг: 793.4 (! !)
Статус: Участник
Шаман

Создано: 1 декабря 2011 16:28 New!
Цитата · Личное сообщение · #23

reversecode пишет:
а почему такая привязка к PE?

Потому, что это высокоуровневый дизасм, который опирается на релоки, импорт, точку входа, экспорт и прочее.

| Сообщение посчитали полезным: ClockMan



Ранг: 1015.9 (!!!!)
Статус: Участник

Создано: 1 декабря 2011 16:31 New!
Цитата · Личное сообщение · #24

PE_Kill пишет:
Потому, что это высокоуровневый дизасм, который опирается на релоки, импорт, точку входа, экспорт и прочее.

там до этого был пост о том что если хотите семлы с линукса, отрежите и пришьете к ним PE

потому мой вопрос был продолжением, зачем отрезать если проще снимать по заданым интервалам


Ранг: 658.6 (! !)
Статус: Участник
CyberMonk

Создано: 1 декабря 2011 17:03 New!
Цитата · Личное сообщение · #25

Ariadne пишет:
Вот как-раз для этого то в том числе двиг и создавался - дать людям возможность свои техники применять, используя наше API. Скриптов пока нет. Если имеются в виду шаблончики , которые морф генерирует, то их у нас сейчас вообще никаких не забито, т.к. деобфускатор не шаблонный, но легко их задать при желании.


Понятно что не шаблонный, я имел ввиду рип или вывод шаблонов, если ИР построен гибко то возможно в динамике работать с самим ИР, а остальное использовать в сторонних проектах. Также чтобы повысить функционал скриптовой язык повязан на эмуль ИР а также построен сам на себе, может с частичными отклонениями ... это позволит разучить внутренности и сделать многое другое .. Мысли в слух ..

Ariadne пишет:
На данный момент поддерживается только x86 PE, потому для Линкуса потребуются танцы с бубном. По поводу семплов, чтобы потестить, можно в личку тогда писать.


Спасибо, понятно.

PE_Kill пишет:
reversecode пишет:
а почему такая привязка к PE?
Потому, что это высокоуровневый дизасм, который опирается на релоки, импорт, точку входа, экспорт и прочее.


Динамическая работа пользователя с ИР решает этот вопрос очень удачно, поэтому это для меня и стал основной вопрос универсальности. А значит если это будет, нужен либо свой отдельный гуй, либо уже гуй привязанный либо к иде, либо еще к чему .. А ранее склонялся к своему гую, так проще, а перенос уже организовать в другую среду не проблема.



Ariadne
Ну и главный вопрос , скидки жителям бывшего СССР ожидаются?!)

r_e пишет:
Ariadne
Прям проект моей мечты =)
Если будет вменяемая ценовая политика для СНГ, может даже прикуплю.


Интерактивный Деобфускатор , проект моей мечты тоже

| Сообщение посчитали полезным: neomant



Ранг: 793.4 (! !)
Статус: Участник
Шаман

Создано: 1 декабря 2011 17:41 New!
Цитата · Личное сообщение · #26

reversecode пишет:
там до этого был пост о том что если хотите семлы с линукса, отрежите и пришьете к ним PE

Ну и соответственно часть кода/данных не распознается, вот и всё.

Ранг: 3.3 (гость)
Статус: Участник

Создано: 1 декабря 2011 18:20 New!
Цитата · Личное сообщение · #27

SaNX пишет:
ну а плаг-то где? седня же обещали

Уже почти вот Сегодня еще не кончилось
mak пишет:
Понятно что не шаблонный, я имел ввиду рип или вывод шаблонов, если ИР построен гибко то возможно в динамике работать с самим ИР, а остальное использовать в сторонних проектах. Также чтобы повысить функционал скриптовой язык повязан на эмуль ИР а также построен сам на себе, может с частичными отклонениями ... это позволит разучить внутренности и сделать многое другое .. Мысли в слух ..

Можно взять dll-ку нашу, прилинковать к проекту своему и работать с ней, используя ее интерфейсы. Если имеется в виду интерактивность, то можно юзать IDA с нашим плагином, который, по сути, является некой оберткой над dll. Можете более подробно отписать, что Вы имеете в виду? Нам интересен любой фидбек и предложения.

mak пишет:
Ariadne
Ну и главный вопрос , скидки жителям бывшего СССР ожидаются?!)


В данный момент ничего по ценам не можем сказать. Но пожелание во внимание принято ;)

Ранг: 3.3 (гость)
Статус: Участник

Создано: 1 декабря 2011 19:44 New!
Цитата · Личное сообщение · #28

Видимо, на сайт не успеем положить сегодня плагин. Взять его можно здесь
Там и дока по нему есть.


Ранг: 1015.9 (!!!!)
Статус: Участник

Создано: 1 декабря 2011 20:29 · Поправил: reversecode New!
Цитата · Личное сообщение · #29

Ariadne: Some error occurred during optimization!
не судьба
у кого то уже есть какие нибудь результаты?
странно функция была вроде не большая, там лимит спецом навешен?)
или не совершенство пока что инструмента

OS WinXP SP2 x86

Ранг: 122.8 (ветеран)
Статус: Участник

Создано: 1 декабря 2011 21:44 · Поправил: Ultras New!
Цитата · Личное сообщение · #30

reversecode, результат аналогичный по причине превышения 2Гб для Демо версии...
OS: Win7 x64
. 1 . 2 . 3 . >>
 eXeL@B —› Софт, инструменты —› Ariadne Framework & Deobfuscator

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS