软件逆向工程,解构程序分析其运作机制的艺术,高端黑客得以彻底探索代码查找可供利用漏洞的利器。同时,它也是这些黑客的恶意软件被破解和无害化的不二法门。而现在,一个新的加密小妙招就能使黑帽子和白帽子双方的逆向工程工作都很难开展。
将于下个月在新加坡举行的SyScan安全大会上,安全研究员Jacob Torrey计划展示他称之为“反逆向工程系统”(HARES)的一种新的机制。Torrey的方法在于加密软件代码,并且只在代码即将被执行的最后一秒才在处理器中解密代码。这将阻止逆向工程工具在程序运行时读取被解密的真实代码。结果就是:想盗版软件的黑客难以破解软件,无法找出安全漏洞,甚至,在某些情况下连弄清软件的基本功能都做不到。
“这将使应用程序完全不透明。软件算法无法被逆向工程解析,脆弱点无法被找到。”
像Adobe和欧特克(AutoCAD、3dsMax、Maya等设计软件的娘家)这样的公司可以将HARES当作一种高端的新型数字版权管理(DRM)形式,保护他们超贵的软件免遭不法复制。另一方面,这种机制也意味着难以破解的犯罪或间谍恶意软件的新纪元。白帽子们将难以摸清这些恶意软件的意图,分辨不出谁是作者,也无法有效开发防御机制。就像知名黑客Grugq在Torrey的摘要提交到SyScan日程表时在推特上写的:HARES可能意味着“恶意软件分析简单易行时代的终结”。
为使逆向工程工具失效,HARES采用了一个在英特尔和AMD芯片上都可以做到的硬件小花招:转换后备缓冲器(TLB)分割。TLB分割在计算机内存上将程序的数据段和代码指令段分离。HARES保持指令段内存中的所有东西都在加密状态,只有用处理器中存有的密钥才可以解密。(这意味着即使高端如“冷启动”把数据封存到RAM中这样的攻击手段,也不能将密钥从内存中抽出来。)普通逆向工程工具如IDA Pro读取计算机内存找寻程序指令段代码,TLB分割就重定向逆向工程工具到内存中充填了加密的不可读指令的区段,让逆向工程工具无法从中找到可用代码。
简而言之,被加密的内存无法从其他未经加密的内存中进行访问。
很多黑客开始逆向工程的第一步是用一种叫“Fussing”的技术,向程序中输入随机数据以期导致程序崩溃,然后分析这些崩溃情况以定位到更严重的可供利用的漏洞。但是Torrey声称,fuzz一个由HARES加密过的程序只会将这些崩溃现场渲染得完全不可读。
“你可以fuzz一个程序,但即使你成功让它崩溃了,你也无法知道是什么引发的崩溃。你就像在盲人摸象或者醉鬼开车,完全理不清头绪。”
Torrey说他设计HARES是为了将其用于抵御黑客的防护机制,而不是用来制造不能被解析的神秘恶意软件。但他也承认,如果HARES真的有效,也会被用于攻击性的黑客目的。
“想象一下如果你不能看到震网病毒的代码,你该怎样搞清它是个什么东西。我想这将改变对国家级恶意软件的反应。”
HARES的保护机制也不是那么牢不可破。应用软件想使用这一加密小花招就必须在软件安装时在CPU中放置一个用于解密的密钥。某些情况下,超有经验的逆向工程师也可能会拦截到这个密钥并使用它读取到程序的隐藏指令。不过,为取得密钥,他得提前准备,使用一些用于找寻密钥的软件。而有时候软件会被预装到计算机上,密钥有可能被操作系统制造商(如苹果或微软)提前置于CPU中以防被黑。“从技术观点看,这种做法尚待商榷,但已比我们现有的办法好太多。”
破解HARES加密的另一种方法,是利用某些芯片的调试功能。调试功能允许芯片和主板间的一个硬件设备读取处理器执行的每一条指令。不过,要使用这个功能,得添置一个售价高达5位数的JTAG调试器,这可不是大多数反向工程师消受得起的。“这绝对是高端货。很明显,国家地区级别的机构会有这些东西,但其他人就可能不会有太多能玩得起了。”
Torrey提到:也许有一天,程序代码加密的方式将发生改变,指令不加密也能运行——这样软件就真的破解不能了。不过,这种“完全同态加密”系统现在基本还只处于理论阶段,实际用起来会导致处理器花费数百万倍的时间来处理指令(相对于不采用此加密系统而言)。而HARES仅仅使受它保护的程序运行变慢2%。“完全同态加密就是代码保护界的圣杯,但它是个学术上的数学问题。HARES则能装入你当前的系统,保护你现在在用的软件。”
Torrey开发HARES的TLB分割技术受到了美国国防部高级计划研究局“网络快速通道”项目的资金支持。他不准备在今年3月的SyScan安全会议上发布HARES项目的代码,而是打算于下个月在迈阿密举行的潜入安全会议上公开。
Torrey说,如果他3月份的演讲过后有程序员决定用HARES的方法去写超难破解的恶意软件,他也不会感到意外。只要给黑客们一两点没加密的提示,他们就会找到挖掘出你秘密的方法。
