Ricardo J. Rodríguez - Mejora en el Proceso de Desempacado usando Técnicas DBI [RootedCON 2012]

"La Instrumentación Dinámica de Ejecutables (en inglés, Dynamic Binary Instrumentation (DBI)) es un método útil para analizar, en tiempo de ejecución, el comportamiento de un programa. En seguridad informática DBI se usa para detección de vulnerabilidades tipo buffer overflow, o detectar otro tipo de excepciones no controladas que pueden resultar en fallos de seguridad en los sistemas. En esta ponencia se presenta el uso de DBI más aplicado a ingeniería inversa, más precisamente, al campo del desempacado de ejecutables protegidos. Lo complicado cuando uno se enfrenta a un ejecutable protegido es saber diferenciar dónde acaba el código del protector y dónde empieza el código real del ejecutable. Concretamente, en esta charla se presenta cómo se puede usar DBI para encontrar tal diferencia. Esta nueva forma de encontrar el comienzo del código real del ejecutable, paso crucial para conseguir un ejecutable sin protección a partir de un ejecutable
protegido, es un primer paso en el uso de DBI para desempacado automático, donde surgen un montón de preguntas que permanecen abiertas: ¿qué pasa con la IAT? ¿se puede usar DBI también para arreglarla? ¿y qué ocurre con las técnicas de antidebugging?."

Enlace: http://vimeo.com/45651750