Marcus Botacin, profile picture
Carregado porMarcus Botacin
37 visualizações

Extraindo Caracterı́sticas de Arquivos Binários Executáveis

O documento aborda a extração de características de arquivos binários executáveis, destacando sua importância na detecção de malware e análises forenses. Explica a estrutura dos binários para diferentes sistemas operacionais, como o formato Portable Executable do Windows e o Executable and Linkable Format do Linux. Também fornece ferramentas e técnicas para manipular e analisar esses arquivos, além de exemplos práticos e tarefas relacionadas à identificação e comparação de seções de binários.

Tecnologia
Tópicos relacionados:
Data Science Insights

Incorporar apresentação

Baixar para ler offline
Extraindo Caracterı́sticas de Arquivos Binários Executáveis Marcus Botacin1 1Universidade Federal do Paraná (UFPR) mfbotacin@inf.ufpr.br 2021 Extraindo Caracterı́sticas de Arquivos Binários Executáveis 1 / 16 UFPR
Por que Investigar Binários Executáveis? Para detectar malware (classificação malware vs. goodware) Para realizar análises forenses (o que tem dentro?). Para se identificar versões (Windows 8 vs. Windows 10). Para se criar uma filogenia (qual software veio antes de qual?). E se você não tem o código-fonte? Extraindo Caracterı́sticas de Arquivos Binários Executáveis 2 / 16 UFPR
Certeza que isso funciona? Extraindo Caracterı́sticas de Arquivos Binários Executáveis 3 / 16 UFPR
Como Funcionam Binários Executáveis? Definição Binários executáveis precisam seguir uma estrutura pré-definida para que o sistema operacional saiba como carregá-los. Informações Importantes para o SO Quantos bytes devem ser alocados para carregar um dado binário? Qual a primeira instrução a ser executada? Extraindo Caracterı́sticas de Arquivos Binários Executáveis 4 / 16 UFPR
Binários Executáveis Dependem do SO Iguais, mas diferentes! Em geral, binários executáveis respondem as mesmas perguntas ao SO, mas seus campos tem tamanhos diferentes e estão localizados em diferentes structs. Formatos para cada SO Linux: Executable and Linkable Format (ELF). Windows: Portable Executable (PE).a a Busque Conhecimento: A Wikipedia sabe tudo sobre estes formatos! Extraindo Caracterı́sticas de Arquivos Binários Executáveis 5 / 16 UFPR
O formato PE Estrutura Básica Cabeçalhos: Respostas básicas e apontadores para dados. Seções: Os dados em si. Extraindo Caracterı́sticas de Arquivos Binários Executáveis 6 / 16 UFPR
Como o OS interpreta um arquivo binário executável Extraindo Caracterı́sticas de Arquivos Binários Executáveis 7 / 16 UFPR
Como você deveria interpretar 1 typedef struct { 2 uint16_t e_magic; 3 uint16_t e_cblp; 4 uint16_t e_cp; 5 uint16_t e_crlc; 6 uint16_t e_cparhdr; 7 uint16_t e_minalloc; 8 uint16_t e_maxalloc; 9 uint16_t e_ss; 10 uint16_t e_sp; 11 uint16_t e_csum; 1 uint16_t e_ip; 2 uint16_t e_cs; 3 uint16_t e_lfarlc; 4 uint16_t e_ovno; 5 uint16_t e_res [4]; 6 uint16_t e_oemid; 7 uint16_t e_oeminfo; 8 uint16_t e_res2 [10]; 9 uint32_t e_lfanew; 10 } IMAGE_DOS_HEADER ; Extraindo Caracterı́sticas de Arquivos Binários Executáveis 8 / 16 UFPR
O que tem dentro das seções? Uma generalização .text: Instruções. .data: Dados inicializados (constantes?). .bss: Dados não-inicializados (variáveis?) outras: Binários podem ter diferentes números e nomes de seções. Extraindo Caracterı́sticas de Arquivos Binários Executáveis 9 / 16 UFPR
O Que Podemos descobrir sabendo disso? Se identifiquei o magic MZ num buffer: Injeção de código. Se identifiquei um timestamp anterior a 1970: Valor forjado. Se o checksum não bate: Binário adulterado. Seções com permissões RWX: Código auto-modificável. Extraindo Caracterı́sticas de Arquivos Binários Executáveis 10 / 16 UFPR
Como Manipular Binários Executáveis? ELF: pyelftools (https://github.com/eliben/pyelftools) PE: pefile (https://github.com/erocarrera/pefile) Multi: lief (https://lief.quarkslab.com/) Extraindo Caracterı́sticas de Arquivos Binários Executáveis 11 / 16 UFPR
Exemplos com pefile (1/2) Extraindo Caracterı́sticas de Arquivos Binários Executáveis 12 / 16 UFPR
Exemplos com pefile (2/2) Extraindo Caracterı́sticas de Arquivos Binários Executáveis 13 / 16 UFPR
Exemplos com pefile (2/2) Extraindo Caracterı́sticas de Arquivos Binários Executáveis 14 / 16 UFPR
Tarefa 1/2 Enumerar as seções executáveis de um binário PE. Extraindo Caracterı́sticas de Arquivos Binários Executáveis 15 / 16 UFPR
Tarefa 2/2 Comparar as seções de dois binários PE. Extraindo Caracterı́sticas de Arquivos Binários Executáveis 16 / 16 UFPR

Mais conteúdo relacionado

PDF
Construindo um analisador de executáveis
porFernando Mercês
 
PDF
Vale Security Conference - 2011 - 11 - Fernando Mercês [Octane Labs] [Coding ...
porVale Security Conference
 
PDF
Engenharia Reversa no Linux
porFernando Mercês
 
PDF
Análise de malware com software livre
porDiego Santos
 
PDF
Análise de Código Malicioso no Linux
porcrimesciberneticos
 
ODP
FISL11: Análise de binários ELF
porFernando Mercês
 
PDF
Malware Detection under Concept Drift: Science and Engineering
porMarcus Botacin
 
PDF
Hardware is the New Software: The Next-Gen AntiViruses and how your hardware...
porMarcus Botacin
 
Construindo um analisador de executáveis
porFernando Mercês
 
Vale Security Conference - 2011 - 11 - Fernando Mercês [Octane Labs] [Coding ...
porVale Security Conference
 
Engenharia Reversa no Linux
porFernando Mercês
 
Análise de malware com software livre
porDiego Santos
 
Análise de Código Malicioso no Linux
porcrimesciberneticos
 
FISL11: Análise de binários ELF
porFernando Mercês
 
Malware Detection under Concept Drift: Science and Engineering
porMarcus Botacin
 
Hardware is the New Software: The Next-Gen AntiViruses and how your hardware...
porMarcus Botacin
 

Mais de Marcus Botacin

PDF
Cross-Regional Malware Detection via Model Distilling and Federated Learning
porMarcus Botacin
 
PDF
What do malware analysts want from academia? A survey on the state-of-the-pra...
porMarcus Botacin
 
PDF
GPThreats: Fully-automated AI-generated malware and its security risks
porMarcus Botacin
 
PDF
[Texas A&M University] Research @ Botacin's Lab
porMarcus Botacin
 
PDF
Pilares da Segurança e Chaves criptográficas
porMarcus Botacin
 
PDF
Machine Learning by Examples - Marcus Botacin - TAMU 2024
porMarcus Botacin
 
PDF
Near-memory & In-Memory Detection of Fileless Malware
porMarcus Botacin
 
PDF
GPThreats-3: Is Automated Malware Generation a Threat?
porMarcus Botacin
 
PDF
[HackInTheBOx] All You Always Wanted to Know About Antiviruses
porMarcus Botacin
 
PDF
[Usenix Enigma\ Why Is Our Security Research Failing? Five Practices to Change!
porMarcus Botacin
 
PDF
Hardware-accelerated security monitoring
porMarcus Botacin
 
PDF
How do we detect malware? A step-by-step guide
porMarcus Botacin
 
PDF
Among Viruses, Trojans, and Backdoors:Fighting Malware in 2022
porMarcus Botacin
 
PDF
On the Malware Detection Problem: Challenges & Novel Approaches
porMarcus Botacin
 
PDF
All You Need to Know to Win a Cybersecurity Adversarial Machine Learning Comp...
porMarcus Botacin
 
PDF
Near-memory & In-Memory Detection of Fileless Malware
porMarcus Botacin
 
PDF
Does Your Threat Model Consider Country and Culture? A Case Study of Brazilia...
porMarcus Botacin
 
PDF
Integridade, confidencialidade, disponibilidade, ransomware
porMarcus Botacin
 
PDF
An Empirical Study on the Blocking of HTTP and DNS Requests at Providers Leve...
porMarcus Botacin
 
PDF
On the Security of Application Installers & Online Software Repositories
porMarcus Botacin
 
Cross-Regional Malware Detection via Model Distilling and Federated Learning
porMarcus Botacin
 
What do malware analysts want from academia? A survey on the state-of-the-pra...
porMarcus Botacin
 
GPThreats: Fully-automated AI-generated malware and its security risks
porMarcus Botacin
 
[Texas A&M University] Research @ Botacin's Lab
porMarcus Botacin
 
Pilares da Segurança e Chaves criptográficas
porMarcus Botacin
 
Machine Learning by Examples - Marcus Botacin - TAMU 2024
porMarcus Botacin
 
Near-memory & In-Memory Detection of Fileless Malware
porMarcus Botacin
 
GPThreats-3: Is Automated Malware Generation a Threat?
porMarcus Botacin
 
[HackInTheBOx] All You Always Wanted to Know About Antiviruses
porMarcus Botacin
 
[Usenix Enigma\ Why Is Our Security Research Failing? Five Practices to Change!
porMarcus Botacin
 
Hardware-accelerated security monitoring
porMarcus Botacin
 
How do we detect malware? A step-by-step guide
porMarcus Botacin
 
Among Viruses, Trojans, and Backdoors:Fighting Malware in 2022
porMarcus Botacin
 
On the Malware Detection Problem: Challenges & Novel Approaches
porMarcus Botacin
 
All You Need to Know to Win a Cybersecurity Adversarial Machine Learning Comp...
porMarcus Botacin
 
Near-memory & In-Memory Detection of Fileless Malware
porMarcus Botacin
 
Does Your Threat Model Consider Country and Culture? A Case Study of Brazilia...
porMarcus Botacin
 
Integridade, confidencialidade, disponibilidade, ransomware
porMarcus Botacin
 
An Empirical Study on the Blocking of HTTP and DNS Requests at Providers Leve...
porMarcus Botacin
 
On the Security of Application Installers & Online Software Repositories
porMarcus Botacin
 

Extraindo Caracterı́sticas de Arquivos Binários Executáveis

  • 1.
    Extraindo Caracterı́sticas deArquivos Binários Executáveis Marcus Botacin1 1Universidade Federal do Paraná (UFPR) mfbotacin@inf.ufpr.br 2021 Extraindo Caracterı́sticas de Arquivos Binários Executáveis 1 / 16 UFPR
  • 2.
    Por que InvestigarBinários Executáveis? Para detectar malware (classificação malware vs. goodware) Para realizar análises forenses (o que tem dentro?). Para se identificar versões (Windows 8 vs. Windows 10). Para se criar uma filogenia (qual software veio antes de qual?). E se você não tem o código-fonte? Extraindo Caracterı́sticas de Arquivos Binários Executáveis 2 / 16 UFPR
  • 3.
    Certeza que issofunciona? Extraindo Caracterı́sticas de Arquivos Binários Executáveis 3 / 16 UFPR
  • 4.
    Como Funcionam BináriosExecutáveis? Definição Binários executáveis precisam seguir uma estrutura pré-definida para que o sistema operacional saiba como carregá-los. Informações Importantes para o SO Quantos bytes devem ser alocados para carregar um dado binário? Qual a primeira instrução a ser executada? Extraindo Caracterı́sticas de Arquivos Binários Executáveis 4 / 16 UFPR
  • 5.
    Binários Executáveis Dependemdo SO Iguais, mas diferentes! Em geral, binários executáveis respondem as mesmas perguntas ao SO, mas seus campos tem tamanhos diferentes e estão localizados em diferentes structs. Formatos para cada SO Linux: Executable and Linkable Format (ELF). Windows: Portable Executable (PE).a a Busque Conhecimento: A Wikipedia sabe tudo sobre estes formatos! Extraindo Caracterı́sticas de Arquivos Binários Executáveis 5 / 16 UFPR
  • 6.
    O formato PE EstruturaBásica Cabeçalhos: Respostas básicas e apontadores para dados. Seções: Os dados em si. Extraindo Caracterı́sticas de Arquivos Binários Executáveis 6 / 16 UFPR
  • 7.
    Como o OSinterpreta um arquivo binário executável Extraindo Caracterı́sticas de Arquivos Binários Executáveis 7 / 16 UFPR
  • 8.
    Como você deveriainterpretar 1 typedef struct { 2 uint16_t e_magic; 3 uint16_t e_cblp; 4 uint16_t e_cp; 5 uint16_t e_crlc; 6 uint16_t e_cparhdr; 7 uint16_t e_minalloc; 8 uint16_t e_maxalloc; 9 uint16_t e_ss; 10 uint16_t e_sp; 11 uint16_t e_csum; 1 uint16_t e_ip; 2 uint16_t e_cs; 3 uint16_t e_lfarlc; 4 uint16_t e_ovno; 5 uint16_t e_res [4]; 6 uint16_t e_oemid; 7 uint16_t e_oeminfo; 8 uint16_t e_res2 [10]; 9 uint32_t e_lfanew; 10 } IMAGE_DOS_HEADER ; Extraindo Caracterı́sticas de Arquivos Binários Executáveis 8 / 16 UFPR
  • 9.
    O que temdentro das seções? Uma generalização .text: Instruções. .data: Dados inicializados (constantes?). .bss: Dados não-inicializados (variáveis?) outras: Binários podem ter diferentes números e nomes de seções. Extraindo Caracterı́sticas de Arquivos Binários Executáveis 9 / 16 UFPR
  • 10.
    O Que Podemosdescobrir sabendo disso? Se identifiquei o magic MZ num buffer: Injeção de código. Se identifiquei um timestamp anterior a 1970: Valor forjado. Se o checksum não bate: Binário adulterado. Seções com permissões RWX: Código auto-modificável. Extraindo Caracterı́sticas de Arquivos Binários Executáveis 10 / 16 UFPR
  • 11.
    Como Manipular BináriosExecutáveis? ELF: pyelftools (https://github.com/eliben/pyelftools) PE: pefile (https://github.com/erocarrera/pefile) Multi: lief (https://lief.quarkslab.com/) Extraindo Caracterı́sticas de Arquivos Binários Executáveis 11 / 16 UFPR
  • 12.
    Exemplos com pefile(1/2) Extraindo Caracterı́sticas de Arquivos Binários Executáveis 12 / 16 UFPR
  • 13.
    Exemplos com pefile(2/2) Extraindo Caracterı́sticas de Arquivos Binários Executáveis 13 / 16 UFPR
  • 14.
    Exemplos com pefile(2/2) Extraindo Caracterı́sticas de Arquivos Binários Executáveis 14 / 16 UFPR
  • 15.
    Tarefa 1/2 Enumerar asseções executáveis de um binário PE. Extraindo Caracterı́sticas de Arquivos Binários Executáveis 15 / 16 UFPR
  • 16.
    Tarefa 2/2 Comparar asseções de dois binários PE. Extraindo Caracterı́sticas de Arquivos Binários Executáveis 16 / 16 UFPR