книги хакеры / журнал хакер / 141_Optimized

Согласно документации Intel каждый префикс может использоваться только в определенных целях, хотя, безусловно, их можно вручную добавить к произвольной команде. Все сегментные префиксы используются совместно с инструкциями, работающими с памятью, для обращения к определенному сегменту. А байты REPNE/REP добавляются только к инструкциям, работающим со строками или с массивом байт, к примеру – SCASB, MOVSD, LODSW. Префиксы размеров операнда и адреса изменяют соответственно их размеры на меньший или больший, в зависимости от режима работы.

Так что же использует генератор Sality? Во-первых, он использует однобайтовые опкоды, целиком образующие инструкцию. К ним относятся все PUSH’ы и POP’ы. Во–вторых, во всех генерируемых инструкциях поле Mod равно 3, чтобы избежать взаимодействия с памятью, а оперировать только с другими регистрами или мгновенными значениями. Исключение составляет команда LEA, в которой Mod всегда равен 2, а использование 3 приведет к генерации исключения. В-третьих, используется множество двухбайтовых опкодов, которые опять-таки не оперируют с памятью: SHLD, BSF, BTS, BTC, XADD и др. И напоследок – Sality добавляет байт 66h, а также сегментные и REPxx префиксы к произвольным инструкциям. С помощью всех этих методов получается качественный обфусцированный код, который не взаимодействует с памятью, но при этом значительно усложняет анализ кода.

А теперь можно обсудить и те моменты, которые позволяют отличить сгенерированный код от кода, полученного компилятором. Начнем с префиксов. Генератор в Sality добавляет их к совершенно произвольным инструкциям. А в документации Intel написано следующее:

«Repeat prefixes (F2H, F3H) cause an instruction to be repeated for each element of a string. Use these prefixes only with string instructions (MOVS, CMPS, SCAS, LODS, STOS, INS, and OUTS). Use of repeat prefixes and/or undefined opcodes with other IA-

32 instructions is reserved; such use may cause unpredictable behavior».

Таким образом, использование префиксов F2 и F3 возможно лишь с ограниченным списком инструкций, а в приведенном выше примере кода эти байты находятся перед командами CALL, SHL, TEST и прочими. Аналогичная ситуация и с сегментными префиксами. Их использование не по назначению может носить неопределенный характер. А в Sality байт 64h может без проблем предварять инструк-

XÀÊÅÐ 10 /141/ 10

цию CALL. Компилятор при генерации кода никогда не будет добавлять префиксы к тем командам, к которым это запрещено делать! На что еще следует обратить внимание при просмотре кода? Например, на практически полное отсутствие работы с памятью, а значит, и отсутствие локальных и глобальных переменных. Это весьма странно, так как компилятор может использовать только регистры в коротких функциях, и то при определенных условиях. Еще одна особенность полученного кода – совершенно произвольные числовые операнды. Такое, конечно, иногда бывает, когда реализуется какая–то функция из криптоалгоритма, но даже в ней нет такого обилия случайных чисел.

Переходим к самому последнему этапу генерации кода – добавление FakeAPI. Этот метод используется для обхода простых эмуляторов или виртуальных машин. А заключается он в вызове произвольной API-функции, в надежде на то, что эмулятор не поддерживает работу с таблицей импортов или не может реализовать корректное исполнение. В представленном дизассемблерном листинге в таком качестве используются две функции – FindCl ose и GetModuleHandleA. В представленном случае очень легко отличить фэйковые запуски от реальных вызовов. Во-первых, результат их работы – регистр EAX или его составные части, впоследствии просто стираются и не используются, что довольно странно для нормальной программы. Во-вторых, функции FindClose должен передаваться корректный хэндл, полученный ранее с помощью FindFirstFile. А в приведенном файле происходит исполнение FindClose (0) прямо с точки входа, что явно не может иметь место в нормальном файле. Генератор, при добавлении FakeAPI в конечный код, пользуется определенным списком, в котором перечислены API-функции, которые получают на вход только один параметр и не вносят никаких значительных изменений в систему.

ЗАКЛЮЧЕНИЕ

Итак, в этой статье мы рассмотрели все этапы работы полиморфного генератора. Как оказалось, в Sality очень эффективно используется полиморфизм и обфускация. В нем присутствует большое количество инструкций, которые не несут полезной нагрузки, значительно усложняют статический анализ и практически полностью «размывают» полезную нагрузку вируса. Добавление FakeAPI также добавляет исследователю головной боли. Но, в то же время, стоит отметить и тот факт, что применение всех этих «примочек» значительно упрощает определение вредоносного кода. Так, при должном опыте, достаточно только одного взгляда, чтобы определить, что перед тобой находится зловред. z

079

ПАРАЛЛЕЛИ

IT-БИЗНЕСА

ИСТОРИЯ КОМПАНИИ Parallels

На сегодняшний день лишь считанным единицам российских ITкомпаний удалось добиться серьезных успехов за рубежом. Поставлять свои продукты на западный рынок и успешно работать с другими странами — заоблачная мечта, «пощупать» которую пока смогли лишь избранные: ABBYY, Лаборатория Касперского и Parallels. Если тебя

не интересуют виртуальные машины для «Маков», а также ПО для автоматизации , то, скорее всего, ты нечасто слышишь имя Parallels, однако достижения этой компании сложно недооценить.

того, чтокомандаБелоусованемогласудить, например, обуровнеобразованиясоискателей, ноипростонепредставляла, чегоможно отнихожидать.

ОсуществлятьработуизРоссиитоженеполучалось. ВладельцыSolomon беспокоились поповодусохранностиисходныхкодовиих возможногоиспользованиявплохозащищеннойпатентнымправомстране. Такчтонестоит удивлятьсяиспрашивать: «Зачемэтоони везлиработниковизРоссиивСингапур, когда моглинанятьместныхзакопейки?».

Итак, Standard & Western заинтересовался разработкойсофтаидовольнобыстросориентировалсявтонкостяхразработкиПО, атакже

внюансахегодистрибуциинарынкахдругих стран. Партнерство, заключенноесSolomon Software случайно, обернулосьбыстрорастущимбизнесом. S&W прекрасносправлялись слокализацией, продвижениемиподдержкой

вЮго-ВосточнойАзииERP-системSolomon, ориентированныхнасегментсреднегоималогобизнеса. Авскореу«Соломона» нашелся ещеодинпроект, которыйониоченьхотели поручитькому-нибудьизсвоихпартнеров; нужнобылозаниматьсяразработкойсофта длякомпанииPervasive, поставщикасистем управлениябазамиданныхSolomon. Standard

& Western натотмоментбылизаинтересованы втакогородаработеничутьнеменьшепотенциальногозаказчика, такчтодоговоренность быладостигнутабыстро.

НиколайДобровольский(вице-президентпо развитиюпродуктов)

ОдновременносисториейСергеяБелоусоваразвиваласьисторияещеодногочеловека, который такжесыгралвParallels однуизглавныхролей.

БудущийлауреатпремииимениЗворыкина,

СЦЕНА

обмелел. Инвесторыидтинавстречуроссийскимбизнесменамнеспешили, и, побольшому счету, немалуючастьсредстввSWsoft тогда изсобственногокарманавкладывалсам СергейБелоусов(наподдержкушлииденьги, полученныеотдругихпроектов, и, похоже, дажеличныесбережения). КоллегиипартнерыСергеядосихпорпоражаются, какунего тогдавообщехватилотерпенияпережитьвсе этитрудностиинеброситьвсекчерту. Примернотемжезанималсявэтовремяи НиколайДобровольский, чьяParallels тоже остронуждаласьвинвестицияхиклиентах. В русскихтогда(даисейчас) вообщеинвестироваликрайненеохотно— западнымворотиламизвенчурныхфондовплохопонятно, что завузымызаканчивали, какованашаквалификация, насколькомысерьезныиможноли вообщевестиснамикакие-тодела. Витоге, чтобыхотькак-тосводитьконцысконцамии небросатьразработку, котораявсетянулась итянулась, частькомандыParallels (включая самогоНиколая), устроиласьнавторую, постояннуюработув«Росгосстрах». Долготак, конечно, продолжатьсянемогло, нонадвух работахэтиотчаянныелюдипродержались болеегода. Послетрудногоднявофисеони возвращалисьдомойиприступаликовторой, неменеесложнойработе— писалисобственныйсофт. Ксчастью, когдасилыбылиуже совсемнаисходе, перваярабочаяверсия продукта, большенапоминавшаяпрототип, былаготова. Теперьможнобылорискнутьи расстатьсяс«Росгосстрахом», чтоДобровольскийисделал. Надворебыл2003 год.

К2004 году, уставбезрезультатноискать инвестициинаЗападе, Николайрешил попытатьсчастьявРоссии. Онпризнается, чтобылострашно— маленькаякомандас вродебыинтереснойразработкойнаруках...

Случитьсямогловсе, чтоугодно, ноиныхвариантовужепопростунеоставалось. И, какты догадался, тут-тоони, наконец, инашлидруг друга— SWsoft иParallels встретились.

НОВЕЙШАЯ ИСТОРИЯ. ПРОДУКТЫ

ВначалеНиколайДобровольскийпознакомилсясоднимизоснователейSWsoft — СтаниславомПротасовым. Этотчеловекначинал свойпутьвкомпаниисдолжностисисадмина испецавобластиUnix, нокмоментузнакомствасДобровольскимужевозглавлялмосковскийофисSWsoft, аныневообщезанимает

вParallels постстаршеговице-президентаи руководитR&D всехпродуктовкомпании.

ВтетрудныевременаПротасовсамвышелна Николая— онужебылосведомленоразработкахParallels исчиталихдостаточноинтереснымииперспективными. Встретившисьс Добровольскимличноипообщавшисьболее детально, Станиславокончательноубедился

вправотесвоихсуждений, послечегоипредставилглавуParallels СергеюБелоусову. Сталоокончательноясно, чтоотслияниявсе тольковыиграют— разработкиParallels были крайнеинтересныидолжныбылиидеально

СЦЕНА

ЕслиговоритьоParallelsDesktopforMacиforWindowsиLinuxинтереснобылобыузнать,насколькоохотнопроизводителижелезаидутна

встречу«эмуляторщикам»,икакдалекозаходитэтосотрудничество?

Мытесновзаимодействуемсовсемиключевымипоставщикамижелеза. Онивсегдапредоставляютнамранниеобразцысвоихпродуктовдлятестированиясовместимости, ичтобымымогликакможнораньшеначать использоватьновуюфункциональностьжелезавсвоихпрограммах. Заинтересованностьвтакомвзаимодействиииупроизводителейжелеза, иуразработчиковобоюдная. Всехотят, чтобыихклиентыбылидовольны комплекснопродуктомитем, каконрешаетихзадачи.

Вопрос,внекоторомроде,продолжающийпредыдущий:насколько хорошожелезобудущегобудетадаптированоподэмуляторыигото-

выликэтомуразработчикионых(вчастности-вы)?

Конечно, всепроизводителижелезаужедавноосозналиперспективностьвиртуализации. Всеинфраструктурныекомпонентыбудутраноили поздновиртуализированы. Ноэмуляторы– этоневиртуализация. Эмуляторсоздандлятого, чтобыэмулироватькакие-токомандыпосредством другихдоступныхкоманд. Восновном, оннужендляработыпрограмм

однойархитектурынадругой. Например, можнозапуститьприложение iPhone вэмуляторенаMac. Виртуализация– этокардинальнодругаятехнология. Практическивсекоманды, которыеисполняютсяввиртуальной машине, работаютнативнонапроцессоре. Проигрышвпроизводитель- ностиэмуляторавсотни-тысячираз, апривиртуализациионминимален, т.к. используютсяобычнопростаивающиепринормальнойработе компьютераресурсы.

Сточкизрениябезопасности-насколькобезопасноисполнениекода ввиртуальнойсредеинеможетлибыть«пенетраций»,схожихс

пофиксенымивVMwareвсвоевремя?

Ошибкивозникаютвлюбомкоде. Игипервизорнеисключение. Поэтому совсемисключатьвозможностьобнаружениятакихошибоквбудущем невозможно. Темнеменее, объёмкодавгипервизоредостаточномал, аинтерфейсыпростыипостоянноанализируютсянапредметбезопасности. Поэтомувероятностьпоявленияошибоквгипервизоре, скажем, ничутьнебольше, чемвBIOS. Вслучаежеобнаруженияошибоконибыстроисправляются, иобновлениятутжедоставляютсяпользователям. И этонамногопроще, чемеслиошибкадопущенавжелезе. Например, в процессорахIntel Pentium былаошибкаоперацииделенияикомпания отзывалаэтипроцессорыдажеизужепроданныхкомпьютеров. Поэтому сточкизрениябезопасностинетособыхотличиймеждуисполнением программыилиОСвнутривиртуальноймашиныилинапрямую, особенно учитываято, чтовсебольшеибольшефункцийберетнасебяпроцессор позапускуэтихВМ.

Любомуразбирающемусячеловекупонятно,чтобольше«фишек»будетреализовановгипервизоре,темсложнее,массивнееи«прожорливее»получитсякод.Нашлиливынекийбаланспроизводительности/

качествавэтомвопросе,набольшиели «жертвы»приходитсяидти?

Да, конечно, приразработкегипервизораоченьважнооптимизировать кодтакимобразом, чтобывнёмбылреализовантолько«минималь- но-необходимый» функционал. Мыэтоотличнопонимаемивсегда старалисьследоватьэтомупринципу. Поэтомунельзясказать, чтонам приходитсяидтинакакие-тожертвы- простомыследуембазовымпринципамразработкинашегопродукта.

Приэтом, вгипервизоренеткактаковыхфишек, естьвозможность эффективнозапускатьвиртуальнуюмашину. Всефункции, которые добавляютсякнашемуприложению, несвязанывбольшинствесвоем сзапускомВМ. Онинацеленынаповышениеудобстваработыпользователясприложением. Ведьврезультате пользователюважнанеголая производительностькакого-томикрозадания, авцеломскоростьи удобствоработысосвоимкомпьютером. Поэтомувсенашиособолюбимыепользователями«фишки», потребляякакое-томинимальноеколи- честводополнительныхресурсов, предоставляютмассупреимуществ. Например, естьфункцияSmartSelect, котораяпозволяетвамоткрыть вашWord-документсрабочегостолаМакасразуввиртуальноймашине подWindows. Ивамненадодляэтогоспециальнопредварительно запускатьвиртуальнуюмашину, переноситьтудафайлдокумента, открыватьтамWord, потомвнемоткрыватьэтотдокумент, и«черезлевоеухо» пересохранятьвнесенныеизменениясначалавВМ, апотомвверсию с рабочегостолаМака. Мывсеэтоделаемнаавтомате. Инетакважно, что дляэтогосценариятребуетсясразунесколькофишекиSmartSelect, и SharedFolders, иSharedProfiles иCoherence. Они, естественно, чуть-чуть загружаютпроцессор, затонашипользователивцеломвыигрываютво многоразвудобствеискоростивыполнениясвоихзадач.

КАКИМИБЫВАЮТЛИНУКСЫ

Ванильным(официальным) принятосчитать ядро, котороеможнонайтинаkernel.org, иглавнымпокровителемкоторогоявляетсясамЛинус. Насайтеможноскачатьстароеядроветки2.4.x (котороеужепрактическинеподдерживается) илинесколькостабильных(илинеочень:) ) ядер ветки2.6.x. Нестабильныеядраимеютсуффикс «-rc», аежедневныеснапшотыизgit'а— «rc-git». Обычновыходит7-9 rc-релизов, преждечемядро обретаетстатусстабильного. Всреднем, стабиль- ныерелизывыходят4-5 развгод, апоследнийна моментнаписаниястатьирелиз— 2.6.35.

LINUX-RT

Пожалуй, самыйизвестныйстороннийпатч. ПозволяетпревратитьобычныйLinux вОС реальноговремени. Ихотяглавноеприменениетакойоперационки— промышленныеи встроенныесистемы, наобычномдесктопеона

тожеможетбытьинтересна. Например, тем, кто частозанимаетсяобработкойзвукаиливидео илипостоянногрузитсистемукакими-нибудь ресурсоемкимивычислениями. Встречаются такжесвидетельстваоположительномэффекте отпримененияэтогоядранаhighload-серве- рах. Яженичего, кромеслегкаупавшейобщей производительностисистемы, незаметил. Скачатьпатчможнопоадресуwww.kernel. org/pub/linux/kernel/projects/rt/. Последняя стабильнаяверсия— 2.6.33.6-rt27. Внекоторых дистрибутивахrealtime-ядроужеприсутствует врепозитории. Например, вUbuntu дляуста- новкиrt-ядрадостаточновыполнить

$ sudo apt-get install linux-rt

Вдругихжедистрибутивахядросэтимпатчем можнолегкособрать. Дляэтогонадоналожить патчнаванильноеядроиприконфигурирова-

нииуказатьопциюProcessor type and features ÆPreemption Mode (Complete Preemption (Real-Time)). Иещерекомендуетсяотклю-

читьопциюKernel hacking ÆCheck for stack overflows, таккаконаповышаетлатентность. Чтобыможнобылособиратьнекоторуюстатистикуповремениотклика, приконфигурированиинужнотакжевключить: Kernel hacking Æ Tracers –> Kernel Function Tracer, Interrupts-off Latency Tracer, Interrupts-off Latency Histogram, Preemption-off Latency Traver, Preemption-off Latency Histogram, Scheduling Latency Tracer, Scheduling Latency Histogram, Missed timer offsets histogram. Послесборкиядродолжно содержатьвимениPREEMPT иRT, например:

$ uname -v

#1 SMP PREEMPT RT Wed Aug 4 00:40:34 YEKST 2010