Le moteur de recherche
des thèses françaises
'%3e%3cpath%20style='fill:%2300a0dc;fill-opacity:1;stroke:none;stroke-width:.144606;stroke-opacity:1;stop-color:%23000'%20d='M41.8%20100.088H52.28c.46%200%20.831.421.831.945v10.25c0%20.524-.37.946-.831.946H41.8c-.46%200-.831-.422-.831-.945v-10.251c0-.524.37-.945.831-.945z'/%3e%3cpath%20d='m47.072%20102.02-4.87%202.656%204.87%202.657%203.985-2.174v3.06h.885v-3.543m-7.969%201.851v1.771l3.1%201.691%203.098-1.691v-1.77l-3.099%201.69z'%20style='fill:%23fff;fill-opacity:1;stroke-width:.442726'/%3e%3ccircle%20style='fill:%23009f1d;fill-opacity:1;stroke:%23fff;stroke-width:.379704;stroke-linecap:round;stroke-linejoin:round;stroke-miterlimit:4;stroke-dasharray:none;stroke-opacity:1;stop-color:%23000'%20cx='54.151'%20cy='101.224'%20r='3.451'/%3e%3cpath%20d='m55.669%2099.387.659.664-3.075%203.104-1.634-1.649.66-.663.974.979%202.416-2.435'%20style='fill:%23fff;fill-opacity:1;stroke:none;stroke-width:.30061;stroke-miterlimit:4;stroke-dasharray:none;stroke-opacity:1'/%3e%3c/g%3e%3c/svg%3e)
Approches formelles de désobfuscation automatique et de rétro-ingénierie de codes protégés
| Auteur / Autrice : | Robin David |
| Direction : | Jean-Yves Marion, Sébastien Bardin |
| Type : | Thèse de doctorat |
| Discipline(s) : | Informatique |
| Date : | Soutenance le 06/01/2017 |
| Etablissement(s) : | Université de Lorraine |
| Ecole(s) doctorale(s) : | École doctorale IAEM Lorraine - Informatique, Automatique, Électronique - Électrotechnique, Mathématiques de Lorraine (1992-....) |
| Partenaire(s) de recherche : | Laboratoire : Laboratoire lorrain de recherche en informatique et ses applications |
| Jury : | Président / Présidente : Jean Goubault-Larrecq |
| Examinateurs / Examinatrices : Sébastien Bardin, Roberto Giacobazzi, Arun Lakhotia, Eric Freyssinet, Steve Kremer, Sarah Zennou | |
| Rapporteurs / Rapporteuses : Roberto Giacobazzi, Arun Lakhotia |
Mots clés
Résumé
L’analyse de codes malveillants est un domaine de recherche en pleine expansion de par la criticité des infrastructures touchées et les coûts impliqués de plus en plus élevés. Ces logiciels utilisent fréquemment différentes techniques d’évasion visant à limiter la détection et ralentir les analyses. Parmi celles-ci, l’obfuscation permet de cacher le comportement réel d’un programme. Cette thèse étudie l’utilité de l’Exécution Symbolique Dynamique (DSE) pour la rétro-ingénierie. Tout d’abord, nous proposons deux variantes du DSE plus adaptées aux codes protégés. La première est une redéfinition générique de la phase de calcul de prédicat de chemin basée sur une manipulation flexible des concrétisations et symbolisations tandis que la deuxième se base sur un algorithme d’exécution symbolique arrière borné. Ensuite, nous proposons différentes combinaisons avec d’autres techniques d’analyse statique afin de tirer le meilleur profit de ces algorithmes. Enfin tous ces algorithmes ont été implémentés dans différents outils, Binsec/se, Pinsec et Idasec, puis testés sur différents codes malveillants et packers. Ils ont permis de détecter et contourner avec succès les obfuscations ciblées dans des cas d’utilisations réels tel que X-Tunnel du groupe APT28/Sednit.