現在攻擊者包裝惡意程式的花招百出,以往遇到 C/C++, Golang... 只要有課金都可以直接 F5,但這次竟然出現了 PHP ,還搭配商業殼加密,沒有 F5可按的我只好請出 AI 搭把手,當我的逆向小幫手
本講題分為四個部分:
- Zend Engine 執行流程簡介
- 加密殼的實現流程解析
- 拆解加密殼的手法步驟
- 著手訓練自己的 LLM 進行反編譯工作
第一部分將會介紹 PHP Zend Engine 的執行流程,包含存放 source code 中重要資訊的結構,以及 Zend 如何編譯、執行 PHP 程式碼。
第二部分將會介紹該加密殼運作手法必要的部分進行介紹,包含該加密殼如何Hook 執行函數、隱藏了哪些重要的資料、以及如何代替 PHP 執行程式以增加動態分析難度等等。
第三部分介紹與加密殼搏鬥的過程,從如何用靜態分析拆解 Decoder、還原出所需的資訊、解密受到保護的資訊,到劫持該 Decoder 的函數、注入反組譯程式並還原出 opcode
最後將會介紹我們的發現- LLM 對於將 opcode 反編譯成 PHP source code 能夠起到非常大的作用。撰寫反編譯器的工程量往往非常的大,而使用 LLM 進行反編譯工作卻讓我們收穫了意想不到的結果。在此基礎上,我們是否可以自行微調一個 LLM 以協助我們處理反編譯的需求?
本次的演講將深入探討 PHP Zend Engine 的執行流程,以及一種加密殼的運作方式。我們將分享我們如何解開這種加密殼,並訓練 AI 進行反編譯工作,讓我們更有效地理解和分析惡意軟體的行為。
任職於中華資安國際,擔任資訊安全研究員,專注於惡意程式分析、 APT 攻擊分析。平時喜歡研究逆向工程及分析程式通訊協定。 回報過多項 CVE 漏洞。
剛畢業於台灣科技大學資工系,喜歡拆教室的電腦櫃,因緣際會下踏入資 安領域,目前在中華資安國際擔任快樂的工讀生,主要進行惡意程式的分析, 閒暇之餘幫攻擊者算命卜卦,立志成為 F5 大師。