阿里安全的自動化逆向機器人TimePlayer究竟有多“變態(tài)”？-創(chuàng)新互聯(lián)

文 / 阿里安全獵戶座實驗室 杭特

站在用戶的角度思考問題，與客戶深入溝通，找到云霄網(wǎng)站設(shè)計與云霄網(wǎng)站推廣的解決方案，憑借多年的經(jīng)驗，讓設(shè)計與互聯(lián)網(wǎng)技術(shù)結(jié)合，創(chuàng)造個性化、用戶體驗好的作品，建站類型包括：成都做網(wǎng)站、網(wǎng)站設(shè)計、外貿(mào)營銷網(wǎng)站建設(shè)、企業(yè)官網(wǎng)、英文網(wǎng)站、手機端網(wǎng)站、網(wǎng)站推廣、申請域名、網(wǎng)絡(luò)空間、企業(yè)郵箱。業(yè)務(wù)覆蓋云霄地區(qū)。

“如果殺毒軟件廠商的自動化水平和能力，相當(dāng)于天上的衛(wèi)星，能看到地上奔跑的羚羊。那么，我們能做到什么程度？我們能看到羚羊身上的每個細(xì)胞?！?/p>

這是阿里安全資深專家、阿里安全獵戶座實驗室負(fù)責(zé)人杭特對旗下自動化逆向機器人TimePlayer的描述。雖然這個東東戰(zhàn)力爆表，不過杭特淡淡地表示，這只是個開始......

什么是逆向？

×××（或者白帽子）在很多人眼中屬于非常神秘的種族，仿佛他們無所不能：破解設(shè)備，***系統(tǒng)，發(fā)現(xiàn)各種牛B的漏洞。逆向能力，就是這些×××的基本功。其實，各行各業(yè)都有自己的基本功，比如學(xué)武術(shù)要先練站馬步，否則下盤不穩(wěn)，稍微推一下就倒；外科手術(shù)，手要既穩(wěn)又靈活，否則手一抖，割錯了地方，那就……當(dāng)然基本功練到頂級，能達到出神入化的效果，比如武俠小說里內(nèi)力深厚，可以把木枝當(dāng)利劍，把樹葉當(dāng)飛鏢。

那么×××何時需要這個基本功呢？就是他需要搞清楚一個程序到底在做什么的時候。這里再舉幾個例子：早期國內(nèi)企業(yè)想造汽車，又沒有積累，怎么辦呢？買一臺日本車，把他大卸八塊，發(fā)動機變速箱全都拆開，一塊一塊的研究，然后照葫蘆畫瓢仿制出自己的型號；一個病人來看病，醫(yī)生有用聽診器加望聞問切，高級點的各種化驗加CT核磁共振，都是為了發(fā)現(xiàn)這個病人有何異常；生物和醫(yī)學(xué)研究，需要各種顯微鏡來觀察細(xì)胞的各種運行狀態(tài)，等等。

通過逆向，你就能弄明白：當(dāng)你點了一下鼠標(biāo)，你的照片是如何一步步顯示在屏幕上的，臉上的青春痘是如何一步步被消除的；當(dāng)你輸入支付密碼，你的驗證碼是如何一步步驗證的，你的轉(zhuǎn)賬記錄是如何一步步生成的；運行一個網(wǎng)上下載的“是男人就下一百層”游戲，背后是如何偷偷的盜取你的聊天記錄和網(wǎng)游賬號的……

現(xiàn)在逆向都是怎么做？

很不幸，大部分還處于比較原始的狀態(tài)，除了少數(shù)通用工具（IDA、Ollydbg等等），絕大部分工作都需要人來操作。對于剛?cè)腴T的同學(xué)，人工逆向打怪升級還有些成就感，“讀了這些文件”，“發(fā)了這些數(shù)據(jù)”，“哦，原來是這么回事”，“MD，它竟然敢這么做”，“哈，終于繞過了這些限制”。但隨著時間的推移和技能的提升，逆向工作就成了純粹的體力勞動，每天只能反反復(fù)復(fù)的運行程序、設(shè)置斷點、獲取接口數(shù)據(jù)、修改數(shù)據(jù)、寫分析記錄，大量的時間耗費在這些繁文縟節(jié)里。

為什么要提自動化逆向，難度如何？

目前的主要矛盾：需要分析的對象數(shù)量越來越多、規(guī)模也越來越復(fù)雜，但分析人員人數(shù)有限，還經(jīng)常出狀況（比如高級分析人員的能力無法賦能給初級分析人員，人員流動導(dǎo)致的能力銜接不夠，人工分析的準(zhǔn)確性無法得到保證）。能不能把重復(fù)的人工分析任務(wù)完全由自動化的工具來做？答案是肯定的。

一定有些專業(yè)人士來挑戰(zhàn)：不是有個叫做“腳本”的玩意兒么，你把常用的操作，寫個腳本不就完了，或者開發(fā)個分析平臺啥的，不難。

下面來個類比：

• 開車作為一個現(xiàn)代人的基本技能，不算難，當(dāng)然也要花1、2個月在駕校學(xué)習(xí)和考試上。目前我國的駕駛員有3億。如果人工駕駛，改成自動駕駛，是不是難度陡然提升？現(xiàn)在還沒有幾家敢說自己達到Level4和Level5的自動駕駛吧？
• 圍棋，規(guī)則普通人一天差不多就能學(xué)會。但如果讓超級電腦按照這個規(guī)則和人對弈，戰(zhàn)勝人類冠軍，哪怕計算力超強，也是很困難的事情，否則為什么阿爾法狗那么出名？因為難吶。

又有一些專業(yè)人士會反駁：胡說，那些殺毒軟件廠商，每天查殺數(shù)億樣本，肯定是自動化實現(xiàn)的。我只能說，這個反駁有一定的專業(yè)度，但只看到了表象。每個殺毒軟件廠商都有一個很大的運營團隊（通常數(shù)百到上千人），用于人工分析自動化初篩后的樣本。他們的自動化水平和能力，相當(dāng)于天上的衛(wèi)星，能看到地上奔跑的羚羊，僅此而已。而我們能做到什么程度？我們能看到羚羊身上的每個細(xì)胞。

阿里的自動化逆向機器人達到什么程度？

我們將安全從業(yè)人員逆向工作的大部分能力完全自動化，創(chuàng)立了自動化逆向機器人TimePlayer。相關(guān)的能力么？世界領(lǐng)先，甚至可以說是世界第一，不服來戰(zhàn)嘛。

TimePlayer使用的相關(guān)的技術(shù)非?；逎y懂，這里就不展開了。下面形象地說一下這個機器人的能力：

• 攝像機：如果要分析一個程序，只需要在TimePlayer里運行一次就可以了，TimePlayer會把該程序所有的行為全部忠實的記錄下來，不會遺漏任何的細(xì)節(jié)。
• 播放機：之前拍攝的內(nèi)容，可以向前放、向后放、快放、慢放、放大任意處的細(xì)節(jié)、追蹤任意的目標(biāo)。要注意，這個播放時的結(jié)果要和攝像時一模一樣，這是很有難度的。
• 顯微鏡：程序的行為，要做到指令級別的粒度，所有的一切都要能觀察到，包括每個指令是什么，寄存器狀態(tài)，訪問的內(nèi)存內(nèi)容，等等。打開一個App，通常幾十億條指令就執(zhí)行完了，上面的內(nèi)容統(tǒng)統(tǒng)不能遺漏。

大家可以把這個機器人類比成醫(yī)學(xué)界的達芬奇機器人，配合技術(shù)高超的醫(yī)生，能夠?qū)崿F(xiàn)許多很多專家都做不到的事情：

• 前一陣大家都聽說過WannaCry勒索病毒，很多用戶重要數(shù)據(jù)被這種惡意軟件加密了。如果要恢復(fù)這些數(shù)據(jù)，需要勒索者提供一個叫做“私鑰”的東西，這個“私鑰”數(shù)據(jù)量很小，其實是在受害者機器上生成的。由于勒索軟件刻意的刪除了本機的“私鑰”，理論上只能掏錢向勒索者獲取。雖然很多安全廠商做了各種分析，貌似很徹底，但都沒有我們的獨家發(fā)現(xiàn)：這個“私鑰”實際上在用戶態(tài)和內(nèi)核態(tài)均有殘留，且相較于暴力搜索用戶態(tài)內(nèi)存方法，精準(zhǔn)的內(nèi)核態(tài)殘留提取更為穩(wěn)定。
• 安全人員工作中經(jīng)常需要逆向一些網(wǎng)絡(luò)協(xié)議或者文件格式，舉個例子，只有逆向doc超級復(fù)雜的文件格式以及Word對其的解析過程，WPS才能打開doc文檔并對其進行處理?，F(xiàn)在，只需要把doc文檔放到TimePlayer上打開，就能自動化的對doc文件格式進行分析。以前數(shù)人多年的分析工作，現(xiàn)在幾天時間就能搞定，還不需要人的參與。
• ***是個對抗的過程。為了對抗人工逆向，防護人員開發(fā)了各種各樣的工具和產(chǎn)品提升逆向難度，其中最有名的叫做“虛擬機殼”。這種殼本質(zhì)上就是一個超級復(fù)雜的迷魂陣，讓逆向者不停的打轉(zhuǎn)，耗費他們的時間和精力。一般只有特別資深的專業(yè)人士，經(jīng)過一定時間的積累，才能搞定這種復(fù)雜的對象。TimePlayer利用了獨特的技術(shù)，可以很輕松地化解這些迷魂陣，讓最初級的分析人員也能很快的了解程序的算法細(xì)節(jié)，甚至都不需要了解，拿來使用即可?！疤摂M機殼”這種純工程化的障眼法，如果不結(jié)合一些理論上的難題，未來的天花板會很低。

以上的內(nèi)容還只是TimePlayer能力的牛刀小試，更進階的功能由于保密的原因還不能分享，我們會在適當(dāng)時機進行發(fā)布。

另外，說一下對未來***形式的方向性看法。隨著社會生活全面互聯(lián)網(wǎng)甚至物聯(lián)網(wǎng)化，需要分析的對象，無論是種類還是數(shù)量都呈現(xiàn)爆發(fā)性增長，指望有限的分析人員來覆蓋這些對象是不現(xiàn)實的，人海戰(zhàn)術(shù)將不能滿足要求，自動化、規(guī)模化是大勢所趨，也是能力能夠沉淀的必經(jīng)之路。

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務(wù)器15元起步，三天無理由+7*72小時售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國服務(wù)器、虛擬主機、免備案服務(wù)器”等云主機租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務(wù)可用性高、性價比高”等特點與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場景需求。

文章標(biāo)題：阿里安全的自動化逆向機器人TimePlayer究竟有多“變態(tài)”？-創(chuàng)新互聯(lián)
轉(zhuǎn)載源于：http://muchs.cn/article48/dppoep.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供Google、小程序開發(fā)、網(wǎng)站策劃、云服務(wù)器、品牌網(wǎng)站建設(shè)、域名注冊

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)