自动逆向机器人：2018安全开发者峰会弗为@阿里安全分享

"看雪2018安全开发者峰会上，阿里巴巴安全部的弗为分享了关于自动逆向机器人的主题，探讨了逆向自动化在二进制程序分析和漏洞挖掘中的应用，以及如何应对逆向分析中的挑战。" 在2018年的看雪安全开发者峰会上，一位名为弗为的安全专家，来自阿里巴巴安全部的猎户座攻防实验室，提出了自动逆向机器人的概念。弗为专注于二进制程序分析、漏洞挖掘和软件供应链安全，致力于将传统的人工分析经验和学术研究方法结合，以实现工具的规模化自动化。 逆向分析是许多安全研究人员的入门途径，虽然过程中充满了挑战，但同时也带来了乐趣。弗为指出，逆向分析的痛点主要包括机械重复的工作、反调试技术、代码混淆、多体系结构以及不稳定重现等问题。为了解决这些问题，他提出了理想的自动逆向基础工具应具备的能力，包括类似“录像机”记录程序行为、“播放机”回放这些行为，以及“显微镜”深入查看程序细节。 为了实现准确的录放功能，弗为提出需要全系统模拟，控制变量如CPU、内存、外设的初始状态和运行过程中的中断、IO输入等。同时，工具需要具有确定性和可修改性，以适应在线或离线分析。此外，它还需要具备细粒度的处理器视角，以及对各种架构和系统的支持，以对抗反调试和反虚拟机技术。 在技术实现上，通过符号执行和污点分析的结合，可以发挥各自优势，追踪和表示指令的语义，从而还原程序和函数的数据本质。通过优化运算架构，可以降低录制性能损失，使纯CPU密集型任务的性能损失控制在30倍以内。 弗为还介绍了名为TimePlayer的自动逆向机器人，它的一个实际应用是在WannaCry勒索软件事件中恢复RSA私钥。通过寻找内存中可能未被擦除的私钥残留，分析密码学组件的行为，来尝试找出敏感数据的存在。 自动逆向机器人是一种创新的技术手段，旨在提高逆向分析的效率和准确性，解决传统逆向工程中的难题，并在实际案例中展现出强大的潜力。这种技术的发展对于提升安全研究和防护能力，尤其是在应对复杂恶意软件和网络安全威胁方面，具有重要意义。