Как уже обсуждалось в предыдущих главах, базовые методики статического и динамического анализа хороши для начальной оценки, но информации, которую они предоставляют, недостаточно для полноценного исследования вредоносного ПО.

Базовые статические методики подобны поверхностному осмотру тела во время вскрытия. С их помощью можно сделать некоторые предварительные выводы, но, чтобы увидеть полную картину, необходим глубокий анализ. Например, вы можете обнаружить импорт определенной функции, но узнать, как она используется и используется ли вообще, вам не удастся.

Базовый динамический подход тоже имеет свои ограничения. Например, с его помощью можно узнать, как исследуемый вредонос реагирует на получение специально подобранного пакета, но формат этого пакета можно определить лишь при дальнейшем изучении. И, как вы убедитесь в этой главе, здесь вам пригодится дизассемблирование.

Дизассемблирование — это узкоспециализированный навык, который может показаться пугающе сложным для новичков в программировании. Но не волнуйтесь: в этой главе вы получите общее представление о дизассемблировании, которое позволит вам двигаться дальше.

Уровни абстракции

Традиционная компьютерная архитектура позволяет представить вычислительную систему в виде нескольких уровней абстракции, с помощью которых скрываются подробности реализации. Например, Windows можно запускать на разном оборудовании, поскольку аппаратное обеспечение абстрагировано от операционной системы.

На рис. 4.1 представлено три уровня кода, которые используются в анализе безопасности. Авторы вредоносного ПО пишут свои программы на языке высокого уровня и с помощью компилятора генерируют машинный код, выполняющийся центральным процессором. С другой стороны, аналитики безопасности и инженеры, применяющие метод обратного проектирования, работают с языком низшего уровня;

мы используем дизассемблер, чтобы сгенерировать код на ассемблере, читая и анализируя который можно понять, как работает программа.

Рис. 4.1. Пример уровней кода

На рис. 4.1 приводится упрощенная модель, но компьютерные системы в целом можно описать в виде шести уровней абстракции. Мы перечислим их, начиная с самого нижнего. Верхние уровни содержат меньше всего подробностей, поэтому чем ниже мы опускаемся, тем сложнее перенести уровень между разными системами.

Аппаратное обеспечение. Это единственный физический уровень. Он состоит из электрических цепей, которые составляют сложные комбинации логических операторов, формирующих цифровую логику: И, ИЛИ, НЕ и исключающее ИЛИ. Ввиду своей физической природы аппаратное обеспечение не поддается легкому управлению на программном уровне.

Микрокод. Уровень микрокода также называют прошивкой. Он работает только на той микросхеме, для которой его писали. Микрокод содержит микроинструкции, которые транслируются из машинного кода более высокого уровня и позволяют взаимодействовать с оборудованием. При выполнении анализа безопасности нас обычно не интересует микрокод, так как во многих случаях он привязан к конкретному ПО, для которого был написан.

Машинный код. Уровень машинного кода состоит из опкодов (операционных кодов) — шестнадцатеричных цифр, которые описывают инструкции процессора. Машинный код обычно реализуется с помощью нескольких инструкций микрокода, чтобы оборудование могло его выполнить. Машинный код создается при компиляции компьютерной программы, написанной на языке высокого уровня.

Языки низкого уровня. Язык низкого уровня представляет собой набор инструкций компьютерной архитектуры, понятный человеку. Самым распространенным

среди этих языков является ассемблер. Аналитики безопасности работают на этом уровне, поскольку машинный код слишком сложен для человеческого восприятия. Мы используем дизассемблер, чтобы сгенерировать код на ассемблере, состоящий из таких простых инструкций, как mov и jmp. У ассемблера есть множество разных диалектов, и мы рассмотрим каждый из них отдельно.

ПРИМЕЧАНИЕ

Ассемблер — это самый высокий уровень, который можно гарантированно и неизменно восстановить из машинного кода, когда нет доступа к исходникам на более высокоуровневом языке.

Языки высокого уровня. Большинство программистов работают с языками высокого уровня. Эти языки позволяют абстрагироваться от аппаратного обеспечения, упрощая использование программной логики и механизмов управления потоками. Обычно во время процесса, именуемого компиляцией, они превращаются в машинный код.

Интерпретируемые языки. На самом верхнем уровне находятся интерпретируемые языки, такие как C#, Perl, .NET и Java. Они не компилируются в машинный код, а проходят через процесс трансляции. Байт-код, который получается в итоге, является промежуточным форматом, зависящим от конкретного языка. Байт-код выполняется внутри интерпретатора — это программа, которая прямо во время выполнения транслирует байт-код в исполняемые машинные команды. Интерпретатор представляет автоматический уровень абстракции по сравнению с традиционными компиляторами, поскольку он может самостоятельно обрабатывать ошибки и управлять памятью, не требуя участия ОС.

Обратное проектирование

Обычно, если вредоносное ПО хранится на диске, оно имеет двоичный вид на уровне машинного кода. Как упоминалось выше, машинный код — это инструкции, которые компьютер может выполнять быстро и эффективно. При дизассемблировании (см. рис. 4.1) на вход подается двоичный зараженный файл, а на выходе получается код на ассемблере; обычно для этого используется дизассемблер (в главе 5 будет рассмотрен самый популярный дизассемблер, IDA Pro).

Ассемблер — это целый подвид языков. Каждый диалект применяется для программирования строго определенного семейства микропроцессоров, такого как x86, x64, SPARC, PowerPC, MIPS или ARM. Самой популярной архитектурой для персональных компьютеров является x86.

Большинство 32-битных ПК построены на платформе x86, также известной как Intel IA-32; все современные 42-битные версии Microsoft Windows предназначены для работы на этой архитектуре. Кроме того, большинство процессоров типа AMD64 или Intel 64, которые работают под управлением Windows, поддерживают 32-битные двоичные файлы формата x86. В связи с этим большинство вредоносных программ

скомпилировано для архитектуры x86, на которой мы и сосредоточимся в этой книге (лишь глава 21 посвящена вредоносам, скомпилированным для платформы Intel 64). А сейчас мы рассмотрим те аспекты данной архитектуры, которые могут пригодиться при анализе безопасности.

ПРИМЕЧАНИЕ

Отличным источником дополнительной информации об ассемблере является книга Рэндалла Хайда The Art of Assembly Language, 2nd Edition (No Starch Press, 2010). Это последовательное введение в ассемблер на платформе x86 для программистов, не знакомых с этим языком.

Архитектура x86

Внутренности большинства современных компьютерных систем (включая х86) следуют архитектуре фон Неймана, проиллюстрированной на рис. 4.2. Она состоит из трех аппаратных компонентов.

Центральное процессорное устройство (ЦПУ) выполняет код.

Основная (оперативная) память системы (random-access memory, RAM) хранит все данные и код.

Система ввода/вывода взаимодействует с устройствами, такими как жесткие диски, клавиатуры и мониторы.

Рис. 4.2. Архитектура фон Неймана

Как показано на рис. 4.2, ЦПУ содержит несколько компонентов: управляющее устройство получает из памяти инструкции для выполнения, сохраняя их адреса внутри регистров (указателей на инструкции). Регистры являются основными модулями хранения данных в процессоре и часто используются для экономии времени,

чтобы ЦПУ не нужно было обращаться к RAM. Арифметико-логическое устройство (АЛУ) выполняет инструкцию, полученную из RAM, и помещает результаты в регистры или память. Процесс получения и выполнения инструкций повторяется по мере работы программы.

Основная память

Основную память (RAM) отдельной программы можно разделить на следующие четыре части, как показано на рис. 4.3.

Данные. Это отдельный раздел памяти под названием сегмент данных, который содержит значения, инициализируемые во время начальной загрузки программы. Иногда эти значения называют статическими, поскольку они не меняются в процессе выполнения, или глобальными, потому что они доступны из любой части кода.

Код. Этот раздел содержит программные инструкции, полученные процессором, которые нужно выполнить. Код определяет, что программа делает и как организовано ее выполнение.

Куча. Куча используется в качестве динамической памяти во время выполнения программы для создания (выделения) новых и удаления (освобождения) старых значений, которые программе больше не нужны. Кучу называют динамической памятью, поскольку ее содержимое может часто меняться на протяжении работы программы.

Стек. Стек используется для локальных переменных и параметров функций, а также для управления потоком выполнения. Мы подробно рассмотрим данную тему чуть позже в этой главе.

Разделы, представленные на рис. 4.3, могут размещаться в памяти в совсем другом порядке. Например, нет гарантии того, что стек будет находиться ниже кода или наоборот.

Инструкции

Инструкции — это кирпичики, из которых строится код на ассемблере. В архитектуре x86 инструкция состоит из мнемонической команды и при необходимости одного и более операндов. Как показано в табл. 4.1, команда представляет собой слово, описывающее инструкцию, которую нужно выполнить: например, команда mov (от англ. move — «двигать») перемещает данные. Операнды обычно определяют информацию, которая используется инструкцией, например регистры или данные.

Таблица 4.1. Формат инструкции

Опкоды и порядок байтов

Каждая инструкция состоит из опкодов (операционных кодов), которые говорят процессору, какие инструкции хочет выполнить программа. В этой книге и других источниках термин «опкод» описывает целую машинную инструкцию, хотя в документации Intel он имеет куда более узкий смысл.

Дизассемблеры транслируют опкоды в инструкции, понятные человеку. Например, в табл. 4.2 можно видеть, что опкоды B9 42 00 00 00 составляют инструкцию mov ecx, 0x42. Значение 0xB9 относится к mov ecx, а 0x42000000 — к 0x42.

Таблица 4.2. Опкоды инструкции

Значение 0x42000000 превращается в 0x42, поскольку в архитектуре x86 используется порядок байтов от младшего к старшему. Порядок байтов определяет, какой байт внутри элемента данных следует первым — старший или младший. Вредоносная программа вынуждена переключаться между этими форматами во время сетевого взаимодействия, поскольку в сети данные используют порядок байтов от старшего к младшему, а код на платформе x86 — от младшего к старшему. Таким образом, IP-адрес 127.0.0.1, представленный в локальной памяти как 0x0100007F, будет передаваться по сети в виде 0x7F000001. Как аналитик безопасности, вы должны быть осведомлены о порядке следования байтов, чтобы случайно не перепутать формат записи таких важных индикаторов, как IP-адрес.

Операнды применяются для указания данных в инструкциях. Можно использовать три типа операндов.

Постоянные операнды являются фиксированными значениями, такими как 0x42 (см. табл. 4.1).

Регистровые операнды ссылаются на регистры, такие как ecx (см. табл. 4.1).

Адреса памяти содержат интересующие нас значения и обычно обозначаются в виде данных, регистра или уравнения внутри квадратных скобок (например, [eax]).

Регистры

Регистр — это небольшое хранилище данных, доступное процессору. Его содержимое достигается быстрее, чем любая другая память. Процессоры на платформе x86 обладают набором регистров, которые можно использовать для временного хранения данных или в качестве рабочего пространства. В табл. 4.3 представлены регистры, наиболее распространенные в архитектуре x86. Их можно разделить на четыре категории.

Общие регистры используются процессором во время выполнения.Сегментные регистры применяются для отслеживания сегментов памяти.Регистры флагов используются для принятия решений.

Указательные регистры требуются для отслеживания следующей инструкции, которую нужно выполнить.

Во время чтения данной главы вы можете подглядывать в табл. 4.3, если вам нужно вспомнить, на какие категории делятся регистры. Каждая из этих категорий будет подробно рассмотрена в следующих разделах.

Таблица 4.3. Регистры на платформе x86

Все общие регистры занимают 32 бита и в ассемблерном коде могут адресоваться как в 32-битном, так и в 16-битном режиме. Например, EDX используется для адресации полного 32-битного регистра, тогда как DX ссылается на младшие 16 бит регистра EDX.

Есть четыре регистра (EAX, EBX, ECX и EDX), которые могут использоваться в качестве 8-битных значений, занимая младшие биты или второй набор из 8 бит. Например, AL ссылается на младшие 8 бит регистра EAX, а AH адресует второй набор из 8 бит.

В табл. 4.3 перечислена потенциальная адресация для всех общих регистров. Структура 32-битного (4-байтного) регистра EAX проиллюстрирована на рис. 4.4. В этом примере он содержит значение 0xA9DC81F5, и код может обращаться к нему тремя дополнительными способами: AX (2 байта) — это 0x81F5, AL (1 байт) — это 0xF5, а AH (1 байт) — это 0x81.

Общие регистры

Общие регистры обычно хранят данные или адреса памяти. Часто в процессе выполнения программы они оказываются взаимозаменяемыми. Но, несмотря на свое название, они не всегда используются для общего применения.

Рис. 4.4. Структура регистра EAX на платформе x86

Некоторые x86-инструкции всегда используют определенные регистры. Например, для умножения и деления неизменно применяются регистры EAX и EDX.

Помимо определения инструкций общие регистры можно использовать согласованным образом в коде программы. Такой подход называется соглашением. Информация о соглашениях, применяемых в компиляторах, позволяет аналитику безопасности быстрее изучать код, не затрачивая время на выяснение контекста

использования регистра. EAX обычно содержит значение, возвращаемое­ вызванной функцией. Следовательно, если регистр EAX идет сразу после вызова функции, этот код, скорее всего, манипулирует возвращаемым значением.

Флаги

Регистр флагов, EFLAGS, хранит статус программы. На платформе x86 он занимает 32 бита, и каждый бит является флагом. Во время выполнения каждый флаг либо установлен (1), либо сброшен (0); это позволяет управлять процессором или указывать на результаты его работы. Флаги, перечисленные ниже, являются наиболее важными с точки зрения анализа вредоносного ПО.

ZF. Нулевой флаг: устанавливается, когда результат операции равен нулю, в противном случае сбрасывается.

CF. Флаг переноса: устанавливается в ситуациях, когда результат операции слишком большой или слишком маленький для заданного операнда, в противном случае сбрасывается.

SF. Флаг знака: устанавливается, когда результат операции отрицательный, и сбрасывается, когда положительный. Этот флаг также устанавливается, когда после арифметической операции самый старший бит оказывается установленным.

TF. Флаг трассировки: используется для отладки. Если он установлен, процессор архитектуры х86 будет выполнять по одной инструкции за раз.

ПРИМЕЧАНИЕ

Подробнее обо всех доступных флагах можно прочитать в первой части «Руководства разработчика программного обеспечения Intel архитектур 64 и IA-32», которое мы обсудим в конце этой главы.

EIP — указательный регистр

На платформе x86 регистр EIP (известный также как указательный регистр или программный счетчик) содержит адрес инструкции, которая должна быть выполнена в программе следующей. Его единственное назначение — говорить процессору, что делать дальше.

ПРИМЕЧАНИЕ

При повреждении регистра EIP (то есть когда он указывает на адрес, по которому нет корректного программного кода) ЦПУ не сможет получить код для дальнейшего выполнения, поэтому текущая программа, скорее всего, преждевременно завершится. С помощью этого регистра вы можете определять, что выполняет процессор, — именно поэтому злоумышленники пытаются заполучить контроль над EIP, используя уязвимости. Обычно, чтобы захватить систему, злоумышленнику сначала нужно загрузить вредоносный код в память, а затем указать его в EIP.