Визуальная криптография - Visual Reverse Engineering - Визуальный реверс

mak

Соломенные сандалии
Администратор
Сообщения
695
Реакции
411
Доки:
Visual Reverse Engineering of Binary and Data Files
Visualization Techniques for Efficient Malware Detection
Visual Forensic Analysis and Reverse Engineering of Binary Data
Для просмотра содержимого вам необходимо Войти в систему.
Программы:
1. Эта программа прямо из фантастического фильма, нереальные эффекты и возможности, умеет парсить Пе формат, имеет множество настроек, для теста я взял пример из соседней темы с VMProtect под названием XOR_20200817194428.vmp.exe и вот, что из этого вышло https://i.imgyukle.com/2020/08/29/ufvCHv.png, интересно сравнить другой пример с вмп и посмотреть, есть ли связь в графическом виде, и так программа ..

VELES - New open source tool for binary data analysis - https://codisec.com/veles/

https://github.com/codilime/veles/releases/download/2018.05.0.TIF/Veles_2018.05_64bit_Windows.exe
https://github.com/codilime/veles/releases/download/2018.05.0.TIF/Veles_2018.05_64bit_OSX.dmg
https://github.com/codilime/veles/releases/download/2018.05.0.TIF/Veles_2018.05_64bit_Ubuntu1604.deb

We believe that Capture The Flag (CTF) competitions are an excellent testing ground for binary data analysis tools like Veles. The challenges met during the competitions are an endless source of unusual inputs and surprising edge cases. Our team uses Veles in all CTFs and we'd be glad to see other teams benefitting from this valuable tool.




Cantordust-Ghidra - https://github.com/Battelle/cantordust


CantorDust is a binary visulization tool used to aid reverse engineering efforts. It allows humans to utilize their superior visual pattern recognition to identify patterns in binary data.
CantorDust (then ..cantor.dust..) was originally created by Chris Domas (xoreaxeaxeax), with funding from Battelle. The Ghidra plugin version of CantorDust was primarily developed by Battelle interns AJ Snedden and Mike Sengelmann with funding from Battelle.

Статья - Battelle Publishes Open Source Binary Visualization Tool

Дополнение - Malware Analysis with Visual Pattern Recognition The secret to quickly reverse-engineering binary files
 
Последнее редактирование:

mak

Соломенные сандалии
Администратор
Сообщения
695
Реакции
411
Два разных запротекченных файла с VMProtect через VELES - https://i.ibb.co/CMTwrFy/jYfe8n8.png

Есть ещё боковые виды, там тоже есть структуры, любопытная игрушка :)
 

OKOB

Посетитель
Победители турниров
Финалисты турниров
Мудрец
Сообщения
46
Реакции
467
На сколько различны были семплы до защиты VMProtect'ом (размер, структура, функционал)?
 

mak

Соломенные сандалии
Администратор
Сообщения
695
Реакции
411
Полностью одинаковы, соурс код приложен в теме VTIL, протекция всей майн процедуры, больше кода там нет, т.е. весь код под вмп должен быть. Можно сравнить с другим структурным кодом другого типа.

Вот второй пример, код уже разный, забыл убрать галочку перспектива, поправил - https://i.ibb.co/Kr4ccss/VMPCompare-Add-Xor.png

Сорс в аттаче ..
 

Прикрепленные файлы:

Последнее редактирование:

Isaev

Гость
Мудрец
Сообщения
3
Реакции
113
В чем полезность сего творения?
 

f13nd

Постоянный
Мудрец
Сообщения
52
Реакции
353
В чем полезность сего творения?
Посмотрел прогу номер один - умеет раскрашивать байты в нех-редакторе в 3 цвета в зависимости от величины. И визуализировать бинарник, беря байты в нем в качестве идущих подряд координат. Свои паттерны не нашел куда вставить. Открыл семпл (несколько последовательностей из 16 одних и тех же байт, сложенных с произвольным слагаемым):

Что-то случайно в линии выстроилось, а что-то нет. Но красиво.
 
  • Понравилось
Реакции: mak

mak

Соломенные сандалии
Администратор
Сообщения
695
Реакции
411
Перезалил архив с PDF в шапке.

В чем полезность сего творения?
Изучение структур данных и всего, что к этому относится. Можешь пдф глянуть в шапке. Некоторые крякмисы решали таким способом. Если найду, то выложу.

@f13nd, посмотри архив зип или рар :)
 

f13nd

Постоянный
Мудрец
Сообщения
52
Реакции
353
@f13nd, посмотри архив зип или рар :)
Ну я понимаю, что хаотическая муть будет выглядеть как хаотическая муть. Но вот функция в двух разных формах представления. Где суть очевидней?
 
  • Понравилось
Реакции: mak

mizuki

Посетитель
Новичок
Сообщения
48
Реакции
29
4294967295 vs FFFFFFFF
где суть очевидней? но привыкли-то мы к десятичной системе.
 
Верх Низ