Déprotection semi-automatique : les scripts Metasm

Thu 19 June 2008 by alex

Ce billet fait suite à la présentation que Yoann et moi avons réalisée à SSTIC cette année, orientée vers l'analyse statique et la déprotection semi-automatique de binaire.

En substance nous avons tiré profit des capacités de Metasm afin de réaliser des approches purement statiques sur deux défis que nous trouvions intéressants et représentatifs d'une certaine évolution des protections logicielles.

Le premier de ces défis a été proposé dans le cadre du challenge Securitech 2006. Au programme : analyse du graphe de contrôle et du flot de données, et enfin manipulation structurelle du binaire. Le tout disponible ici.

Le second provient quant à lui de la conférence finlandaise T2. Cette fois le cœur du problème concerne l'analyse d'une machine virtuelle et la remontée des niveaux d'abstraction : depuis le code natif exécuté par le processeur, jusqu'au source C du programme exécuté par la machine virtuelle, un vaste programme. L'ensemble des scripts se trouve .

Le tout est bien entendu sous licence WTFPL. Au premier abord, les scripts peuvent paraître un peu poilus mais le papier complète bien la démarche. Nous sommes bien sûr preneurs d'éventuels retours et compléments.fusca