Ускорьте обратную разработку с помощью hrtng

R1 0816

Когда дело доходит до анализа вредоносных программ, обратная разработка — самая увлекательная, но и самая трудоёмкая часть этого процесса. При исследовании двоичного кода реверс-инженерам часто приходится решать множество рутинных, но утомительных задач: выполнять анализ виртуальных функций, шифрование данных, бороться с обфускацией кода и так далее. Для решения этих задач, с которыми мы сталкиваемся в повседневной работе, мы разработали плагин для IDA Pro под названием «hrtng». Это наш секретный ингредиент для реверс-инжиниринга, который в этом году занял первое место на ежегодном конкурсе плагинов Hex-Rays и получил более 1000 звёзд на GitHub. Он работает как многофункциональный инструмент, реализующий более 40 функций, полезных для реверс-инжиниринга — будь то анализ вредоносных программ или анализ уязвимостей, «hrtng» пригодится для решения любых задач реверс-инжиниринга.

В этой презентации мы продемонстрируем возможности «hrtng» на примере FinSpy — сильно обфусцированного и сложного для реверс-инжиниринга коммерческого шпионского ПО. С помощью этого плагина мы сможем быстро решать такие задачи, как расшифровка шелл-кода, деобфускация потока управления, разрешение скрытых функций и распознавание структур. Вы увидите, сколько времени можно сэкономить, имея под рукой правильные инструменты!

Исходный код плагина «hrtng», а также его скомпилированные версии доступны бесплатно по лицензии GPLv3. Их можно скачать по следующей ссылке: https://github.com/KasperskyLab/hrtng.

Георгий Кучерин
Георгий Кучерин — научный сотрудник отдела глобальных исследований и анализа «Лаборатории Касперского» и студент Московского государственного университета. Он увлечен анализом сложных вредоносных программ и обратной разработкой. Его предыдущие исследования включают атрибуцию атаки SolarWinds, а также тщательное расследование таких APT-атак, как Operation Triangulation, Turla, FinFisher, APT41 и Lazarus.