今回の講演では、ソースコードが入手不可能なコンパイルされたプログラムの解析について取り扱う。LLVM パスの様な多くの静的なプログラム解析ツールでは、ソースからバイトコードへのコンパイル機能に重点を置いており、バイナリを動作させることはできない。この問題の解決策を、Binary Ninja で扱っている新しい中間言語 (IL) を用いて紹介し実演する。Binary Ninja IL は、それを用いた解析をどの様に記述するかという基礎的な知識を用いることにより、取り扱うことが可能となる。 今回の講演では、簡単なメモリ破壊脆弱性を自動検出するために書かれた Binary Ninja IL で開発されたツールを公開し、CTF で出題されたバイナリを用いて実演する。また、脆弱性発見の手順における、変数解析や抽象解釈、整数範囲解析についても議論する。 --- ソフィア・ダントワーヌSophia D'Antoine ソフィア・ダントワーヌはニューヨークの Trail of Bits 社のセキュリティ技術者であり、Rensselaer Polytechnic Institute の卒業生である。彼女は RECon、HITB、CanSecWest の様な世界中のセキュリティ・カンファレンスでは常連の講演者である。彼女の講演では、LLVM を用いたソフトウェアの難読化や、ソフトウェアに対する攻撃の自動化技術などを取り扱っている。彼女は CTF への取り組みや、騒がしいコンサートに出かけることに多くの時間を費やしている。

1. バイナリロック になる
Binary Ninjaによるプログラム解析入門

2. この講演で
話さないこと

3. この講演で
話すこと

4. ファジング
….
現在の最新技法
バイナ
リ
ソース
コード
問題
読解とスクリ
プティングに
よる逆アセン
ブル
コード
の
読解
ビットコ
ードの解
析
Bindead, REIL,
BAPによる静的解
析
動的計測
静的および
動的解析
コンパイ
ラ
ソース
コード
アナライ
ザ
McSem
a

5. IDAは完璧ではない

6. 問題
バイナ
リ
ソース
コード
問題
● 確固たるツールの選択肢の不足
● コード読解は役に立ち続ける
● コンパイラとLLVMのツー
ルの性能は向上している (
この分野はたくさんのイ
カしたプロジェクトがあ
る！)
● ほとんどのツールは意味的推論が欠
如している
● 逆コンパイラは広く利用されている
が、自動的に推論することが困難で
ある
● 多くのプログラム解析フレームワー
クは使いづらい –自分の分析との対
話に使用可能なフレームワークが欠
如している
● バイナリを取り扱うためのインタラ
クティブかつ使用可能な中間言語
(IL)フレームワークの本当に良い選
択肢はない

7. Binary,
interactive IL
frameworks.

8. Binary Ninja & Binja IL

9. Binja: 木に基づく
構造● Binary Ninja ILは
LowLevelILInstructionの表
現にまとめた
● LLILIは無限長の木構造による命令(配置)
● 中間記法。作用先のオペランドは左辺に置か
れる。
(e.g. x86 ``mov eax, 0`` vs. LLIL ``eax = 0``)
● 副作用がない
● 再帰的下向き解析

10. Binja: 木に基づく
構造
● ジャンプテーブルの境界を見つけるための
シンボリック解析（抽象解釈）
● 逆アセンブルとそれら自身の中間言語を用
いて関数の終了、中断などを決定する。

11. binja_memcpy.py: IL
/bin/bash

12. binja_memcpy.py: IL
/bin/bash

13. binja_memcpy.py: IL
/bin/bash
レジスタの状態!

14. binja_memcpy.py: API

15. binja_memcpy.py: API

16. binja_memcpy.py: API

17. binja_memcpy.py: API

18. binja_memcpy.py: Output

19. Binja API● Python, C and C++ API （いかにもありそう
な！）
● LLVMに組み込まれたいくつかの解析機能がなくなっている
(たとえば、統合されたCFG走査、Uses、SSA、変数の特徴を伴
う記録)
● 分岐：関数の終端(出口)を伴う基本ブロック
● 記録状態を得る、ある簡単な範囲の解析
● api.binary.ninja/search.html

20. シンボリック実行● とても正確
● 時間、データ、メモリを使い、時には実行不能
● アイディア！私たちが何について出来るかについてのみ推測
する
● 複雑なデータを抽象的なドメインに適用する！
● ドメイン：型、符号、範囲、色、など

21. 実践的 (学術的) & プログラム解析
● 具体的な値の集合
が不正確に抽象化
される
● ガロア接続の定式化
具体的 <-> 抽象的
具体な
データ
関心のある
抽象的な特徴

22. 抽象化！int x = 5
int y = argc + x
int z
a

23. 抽象解釈int x = 5
int y = argc + x
int z
aint
抽象領域：型

24. 抽象解釈int x = 5
int y = argc + x
a
int z
int
= +
= +
符号解析

25. 実践的 (学術的) & プログラム解析
● xの値は不正確である
● コンパイラは不正確に抽象
化する。
int x;
int[] a = new int[10];
a[2 * x] = 3;
1. 精密さを付与する – つまり、
抽象値の範囲は [0, 9]
1. 抽象化ドメインと値による
シンボリック実行
● 制御フロー解析の要求

26. 抽象化ドメイン & 符号解析
int a,b,c;
a = 42;
b = 87;
if (input) {
c = a
+ b;
} else {
c = a
- b;
}
● 抽象値への変数マップ

27. 抽象化ドメイン & 符号解析
● Binary Ninja plugin
● 経路依存 – 抽象値の格
子の構築
● 近似値を下回る
● CFG節毎に1つの抽象
状態
● 分数による正確性の喪
失を避ける

28. デモ！
● 例題プログラムの解析
● PHP CVE-2016-6289

29. スクリプト！
● memcpy, headless
python API スクリプト
● 深さ優先探索、経路依
存CFGテンプレート
● 符号解析、抽象ドメイ
ンプラグイン
https://github.com/q
uend/
abstractanalysis

30. 連絡先
● ソフィア・ダントワーヌ
○ IRC: @quend
○ smdantoine@gmail.com
○ Binary Ninja Slack

31. 結論
● 感謝！
○ Vector35
○ Trail of Bits
○ Ryan Stortz (@withzombies)
● 参考資料
○ binary.ninja/
○ github.com/quend/abstractanalysis
○ santos.cs.ksu.edu/schmidt/Escuela03/WSSA/talk1p.pdf
○ 静的プログラム解析の書籍！
cs.au.dk/~amoeller/spa/spa.pdf
忘れない
で：分析す
る前にこれ
を刈り込ん
で下さい。

32. アジェンダ
1) IDA は完璧ではない
2) Binary Ninja IL
3) 実践的(学術的)＆プログラム解析
a) 抽象解釈
4) Binary Ninjaプラグインのデモ
5) 結論