Overview

這個系列想分享關於 Windows Security 的知識，每個主題除了粗略的介紹外，還會搭配一個實作或技術分析 (e.g., Malware Techniques, CTF Challenges, Conference Talks)，除了鍛鍊自己復現一些攻擊研究的能力外，也希望同時能帶給讀者一些實質的收穫。以下是預計發表的內容：

Overview & Tools
Demystify PE Format
DLL Loading
Shellcoding
Process Creation
Process Injection
Token Privilege
UAC
.NET PE Format
.NET Deserialization Exploit
Path Normalization
Time-of-Check Time-of-Use
Named Pipe
RPC
DCOM/COM
Syscalls
ETW
Protected Process
Stack-based Buffer Overflow
SEH
VEH

如果有發現分享的內容中有不正確或不清楚的部分也歡迎在下方留言討論，我也會盡量確保分享的知識的正確性!

Tools

在分析惡意程式/逆向工程/漏洞利用時，會有一些常用的工具可以幫助我們順利完成目標。今天想介紹的有以下幾種：

WinDBG

最經典也最好用的工具沒有之一，跟隔壁棚的 GDB 有異曲同工之妙 XD
可以載入 Debug Symbol ，透過結構中的明文可以更有效率的進行分析。我自己使用的時機大多是在開發 Exploit 的時候，而分析惡意程式通常會採用更複雜更多元的工具。

IDA Pro

這是一款永垂不朽的經典反組譯工具，也因此綠色版非常的流行，並且有廣大的社群愛好者分享許多自己開發的插件或腳本：

• BinDiff
  • 如果你是 Patch Tuesday 的充實觀眾，應該對這個會相當熟悉，這個插件可以檢視兩份不同版本的 binary 之間的差異，讓分析 patch 變得更加得心應手。
• LightHouse
  • 在 Windows Fuzzing 中不可或缺的好工具之一，可以搭配 Dynamorio 分析 coverage，在 IDA 中可以視覺化檢視 crash 踩到的 code block，在後續 Triage 和 Exploit 的階段幫助很大。
• flare-emu
  • 身為一個逆向工程愛好者，對於 emulation/symbolic execution 自然也是有莫名的熱愛，該工具由 Mandiant 開發，主要是依賴 Unicorn 這個 cpu emulator 進行模擬執行指令，也提供許多的 API 讓使用者可以開發自己的分析腳本。
• BinSync
  • 組隊(抱團)打 CTF 的好用工具，主要是以 git 的方式去維護 IDA 紀錄的 metadata，在解 binary 題型時可以方便整合成員間的進度。
  • 近期，Shellphish 也推出結合 BinSync 和 OpenAI API 的分析工具 (https://github.com/mahaloz/DAILA)。

x64dbg

學習惡意程式分析的人一定必學的工具，近期也算是慢慢取代 OllyDbg 的地位，大部分惡意程式分析師都是從這系列工具開始學習 (排除某些人可以從 hexdump 分析惡意程式 lol)。個人最推崇的是視窗的切割，對於分析惡意程式時非常方便，可以快速檢視 memory 及 registers 的的變化，在 Debugging 方面的基本功能和 IDA Pro 差異不大，所以有時候也會直接用 IDA Pro 進行 Debug。

CFF Explorer

檢視 PE 結構的老牌工具，上 binary patch 也很方便，雖然畫面有點懷舊但是真的很好用 XD
也有另一款開源工具 PE bear 可以達到一模一樣的目的

Sysinternals

• Process Monitor
  • 透過紀錄 event 的方式，可以搭配 filter 有效分析大部分程式在執行過程中的行為，當然還是要注意被分析的程式是否有設計各種隱蔽本身行為的方式
• Process Explorer
  • 檢視當前在系統上執行的 process，也可以觀察 process 中各個 thread 的 call stack

另外，還有一些其他的開源工具針對比較特定的使用場景，在後續的章節有用到的話也會一併介紹。有了這些工具，就可以開始分析 Windows 上的 binary!

References

• https://www.zynamics.com/bindiff/manual/
• https://github.com/gaasedelen/lighthouse
• https://github.com/mandiant/flare-emu
• https://github.com/binsync/binsync
• https://github.com/mahaloz/DAILA
• https://x64dbg.com/
• https://ntcore.com/?page_id=388
• https://learn.microsoft.com/en-us/sysinternals/downloads/sysinternals-suite