C言語とgdbを用いたデコンパイルでバーナム暗号を復号化する
2021.12.20
デコンパイルの説明
近年、サイバー犯罪などが増加し、個人・企業ともに、常にセキュリティインシデントに陥る危険性を持っています。
セキュリティインシデント
コンピュータの利用や情報管理、情報システム運用に関して保安上の脅威となること
しかし、セキュリティの人材は、ほとんど全ての業界で不足していると言われています。
そのため、エンジニアであれば、専門家でなくとも、社内のセキュリティの担当をする可能性があります。
そこで今回は、セキュリティ解析の中でも様々な知識を必要とする「デコンパイル」について説明します。
デコンパイルとは?
コンパイルを行うと、実行可能ファイルが生成されます。
実行可能ファイルからは、通常の方法ではソースコードを参照することができません。
「デコンパイル」とは、その実行可能ファイルから、内部のメモリ情報を参考にすることで、元々のソースコードを再現することです。
デコンパイルの活用法
「デコンパイル」には、以下のような活用法があります。
- 実行ファイルが悪意をもったものか判断する
- 自らのファイルをデコンパイルされにくくすることで、模倣への対策を行う
それでは、実際に「デコンパイル」の手順を見てみましょう。
注意事項
今回は、以下の記事で使用した CpawCTF の問題を利用します。
なお、CTF の問題がなくても、デコンパイルの手順がわかるように記述しています。
注意点
- デコンパイルした結果から模倣したソフトを配布することは、法律に反します。
(CTFなどのデコンパイルされることを想定されているものは除く) - 今回のコードは、 Windows10 と CentOS7 で動作確認を行っています。
- Windows10では、Visual Studio 2019 を利用してコンパイルします。
- CentOS7 では、ターミナルから gcc を用いてコマンドラインでコンパイルします。
- 情報は、2020年5月7日現在のものです。
- 今回紹介されている問題を CpawCTF で解くには、level1, level2 までのすべての問題を解いておく必要があります。
デコンパイルを行う
Q23.[Reversing]またやらかした!
200pt
またprintf()をし忘れたプログラムが見つかった。
とある暗号を解くプログラムらしい…
reversing2000
問題
問題は、以下のページを参照してください。
(level1、level2 の問題を見てからアクセスしてください)
【CpawCTF】
https://ctf.cpaw.site/questions.php?qnum=23
実行環境
今回の説明では、Linux 環境での操作を前提に説明します。
なお、ファイルをデコンパイルするときは、端末に悪影響がないように仮想環境を利用することをお勧めします。
プログラムを実行してみる
1 2 | $ chmod 777 rev200 $ ./rev200 |
「rev200」は実行ファイルですが、実行しても何も起きません。
しかし、本当に何もしないプログラムなのでしょうか。
デコンパイル実行
gdb コマンドを用いて、中のメモリを閲覧してみましょう。
1 2 | $ gdb ./rev200 (gdb) disas main |
これでメイン関数が実行されます。
実行結果
以下のような結果になると思います。
問題をダウンロードできない場合は、こちらのデコンパイル結果を参照してください。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 | 0x080483ed <+0>: push ebp 0x080483ee <+1>: mov ebp,esp 0x080483f0 <+3>: push edi 0x080483f1 <+4>: push ebx 0x080483f2 <+5>: add esp,0xffffff80 0x080483f5 <+8>: mov DWORD PTR [ebp-0x78],0x7a //とにかく値を代入していきますbitずつずれていきます。またなぜかメモリが降順です。 0x080483fc <+15>: mov DWORD PTR [ebp-0x74],0x69 0x08048403 <+22>: mov DWORD PTR [ebp-0x70],0x78 0x0804840a <+29>: mov DWORD PTR [ebp-0x6c],0x6e 0x08048411 <+36>: mov DWORD PTR [ebp-0x68],0x62 0x08048418 <+43>: mov DWORD PTR [ebp-0x64],0x6f 0x0804841f <+50>: mov DWORD PTR [ebp-0x60],0x7c 0x08048426 <+57>: mov DWORD PTR [ebp-0x5c],0x6b 0x0804842d <+64>: mov DWORD PTR [ebp-0x58],0x77 0x08048434 <+71>: mov DWORD PTR [ebp-0x54],0x78 0x0804843b <+78>: mov DWORD PTR [ebp-0x50],0x74 0x08048442 <+85>: mov DWORD PTR [ebp-0x4c],0x38 0x08048449 <+92>: mov DWORD PTR [ebp-0x48],0x38 0x08048450 <+99>: mov DWORD PTR [ebp-0x44],0x64 0x08048457 <+106>: mov DWORD PTR [ebp-0x7c],0x19 0x0804845e <+113>: lea ebx,[ebp-0x40] 0x08048461 <+116>: mov eax,0x0 0x08048466 <+121>: mov edx,0xe 0x0804846b <+126>: mov edi,ebx 0x0804846d <+128>: mov ecx,edx 0x0804846f <+130>: rep stos DWORD PTR es:[edi],eax 0x08048471 <+132>: mov DWORD PTR [ebp-0x80],0x0 //カウンタを0にする。 0x08048478 <+139>: jmp 0x8048491 <main+164> //ループが開始されます 0x0804847a <+141>: mov eax,DWORD PTR [ebp-0x80] 0x0804847d <+144>: mov eax,DWORD PTR [ebp+eax*4-0x78] //配列の値を代入 0x08048481 <+148>: xor eax,DWORD PTR [ebp-0x7c] //排他的論理和を取る /*ここで使っている「0x7c」は「0x08048457 <+106>: mov DWORD PTR [ebp-0x7c],0x19」 の値です。つまり 25 と排他的論理和を取っていることになります。*/ 0x08048484 <+151>: mov edx,eax 0x08048486 <+153>: mov eax,DWORD PTR [ebp-0x80] 0x08048489 <+156>: mov DWORD PTR [ebp+eax*4-0x40],edx 0x0804848d <+160>: add DWORD PTR [ebp-0x80],0x1 //配列要素を1足している 0x08048491 <+164>: cmp DWORD PTR [ebp-0x80],0xd //繰り返し回数を比較 0x08048495 <+168>: jle 0x804847a <main+141> //繰り返し数が足りなければ戻る //+<141>に戻ります 0x08048497 <+170>: mov eax,0x0 0x0804849c <+175>: sub esp,0xffffff80 0x0804849f <+178>: pop ebx ---Type <return> to continue, or q <return> to quit--- 0x080484a0 <+179>: pop edi 0x080484a1 <+180>: pop ebp 0x080484a2 <+181>: ret |
コメント文に、実際にどのようなことが行われているか書いています。
結果解析
35 行目を例に、読み解き方を見てみましょう。
35 | 0x08048481 <+148>: xor eax,DWORD PTR [ebp-0x7c] |
先頭から「レジスタ上の位置」「命令」「対象となる変数など」を表しています。
「命令」の部分は、「アセンブラ言語」という機械語とプログラミング言語の中間のような言語で書かれています。
読み解いてみる
<+141> から <+168> までがループです。
ebx-0x80 から配列を逆順に、 0x19 という値と排他的論理和を取り続けています。
4 ずつデクリメントしているのは、初めの配列の定義で数字がメモリを占有する量を加味して、4 ずつずらして代入しているからです。
大事な箇所は
解析では、危険な命令が実行されている箇所に注意して、確認する必要があります。
特に大切なのは、排他的論理和をとっている xor と、比較を行っている cmp の部分です。
C 言語で結果を再現してみる
解析結果を参考に、C 言語でこの結果を再現してみます。
C言語で再現したコード
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 | #include <stdio.h> int main(void){ int i; int ebp; unsigned int edi [14]; unsigned int edx[14]; //配列に値を代入していく edi[0] = 0x7a; edi[1] = 0x69; edi[2] = 0x78; edi[3] = 0x6e; edi[4] = 0x62; edi[5] = 0x6f; edi[6] = 0x7c; edi[7] = 0x6b; edi[8] = 0x77; edi[9] = 0x78; edi[10] = 0x74; edi[11] = 0x38; edi[12] = 0x38; edi[13] = 0x64; for(i=0; i<14; i++){ printf("%c", edi[i]); } printf("\n"); //暗号化し表示する はじめ ebp = 0; for(ebp=0;ebp <14;ebp++) { edx[ebp] = edi[ebp] ^ 0x19; //「^」は排他的論理和を取る演算子です。 } for(i=0; i<14; i++){ printf("%c", edx[i]); } //暗号化し表示する おわり return 0; } |
もとのプログラムにはなかった、配列の中を表示する機能を追加しています。
最初の配列の値
実行をしても、私たちには表示機能があるものしか見ることができません。
初めの配列の中身を表示すると、以下のようになります。
1 | zixnbo|kwxt88d |
排他的論理和をとると
最初の値について、排他的論理和をとった後の値を表示すると、以下のような結果になりました。
1 | cpaw{vernam!!} |
暗号化方式 Vernam
このプログラムでは、何をしていたのか分かりましたか?
答えは、全ての文字を一定の値と排他的論理和を取る「バーナム(Vernam)暗号」という暗号化です。
この暗号化方式の特徴は、もう一度、同じ値と排他的論理和をとれば元の値に戻る、という点です。
他の暗号化方式と組み合わせて使われることの多い、暗号化方式です。
さいごに
いかがでしたでしょうか。
今回は gdb を用いて、実行ファイルのアセンブラコードを閲覧しました。
そして、その中にあったバーナム暗号のプログラムを再現してみました。
実行した見かけだけではわからない機能が、ファイルに隠されていることはよくあります。
特に、悪意のあるファイルには注意しましょう。
こちらの記事もオススメ!
書いた人はこんな人
- 「好きを仕事にするエンジニア集団」の(株)ライトコードです!
ライトコードは、福岡、東京、大阪の3拠点で事業展開するIT企業です。
現在は、国内を代表する大手IT企業を取引先にもち、ITシステムの受託事業が中心。
いずれも直取引で、月間PV数1億を超えるWebサービスのシステム開発・運営、インフラの構築・運用に携わっています。
システム開発依頼・お見積もり大歓迎!
また、現在「WEBエンジニア」「モバイルエンジニア」「営業」「WEBデザイナー」「WEBディレクター」を積極採用中です!
インターンや新卒採用も行っております。
以下よりご応募をお待ちしております!
https://rightcode.co.jp/recruit
ライトコードの日常12月 1, 2023ライトコードクエスト〜東京オフィス歴史編〜- ITエンタメ10月 13, 2023Netflixの成功はレコメンドエンジン?
- ライトコードの日常8月 30, 2023退職者の最終出社日に密着してみた!
- ITエンタメ8月 3, 2023世界初の量産型ポータブルコンピュータを開発したのに倒産!?アダム・オズボーン
関連記事
採用情報
\ あの有名サービスに参画!? /
バックエンドエンジニア
\ クリエイティブの最前線 /
フロントエンドエンジニア
\ 世界を変える…! /
Androidエンジニア
\ みんなが使うアプリを創る /
iOSエンジニア
