SSTIC 2009 - Déobfuscation automatique de binaire

Auteurs : Alexandre GAZET, Yoann GUILLOT

Je pense que c’est la présentation la plus intéressante de cette première matinée. L’utilisation de Metasm permet la manipulation de binaires, et notemment son désassemblage. Le but de cette recherche est de simplifier la compréhension d’un programme désassemble utilisant des mécanismes de protection du style polymophisme ou utilisant des techniques de virtualisation. A partir d’algorithmes issues du monde des compilateurs il est possible de simplifier le code assembleur issu du désassemblage.
Pour les techniques de virtualisation, pour faire simple le but des extensions de metasm développées est de reconstruire le code machine virtuelle en code machine x86. Pour cela il suffit d’extraire le handler qui prend en charge le code de la machine virtuelle et donc d’effectuer la démarche inverse pour le transformer en code x86.

La fin de la présentation est consacrée à montrer des méthodes permettant de transformer du code assembleur en C, plus facile d’appréhension par l’œil humain.