在逆向一些正常或恶意软件时,有时会遇到一些作者封印在代码中的骚操作,有趣又另类,甚至可以作为检测规则来应用,今天就来聊聊这些骚操作。
01
—
闲趣型
2012年的时候,Fireye捕获到一个Java 0day,被用于挂马攻击。上图是其反编译代码,可以发现代码中的拼音,读起来就是”我有一只小毛驴,从来也不骑“,非常闲趣个性。连类名都留个网名,故大东同学被江湖人送外号”小毛驴“。
这里也顺便给个提醒,对于手上有0day/1day exploit的同学,在公布或私下交流时要谨慎一些,避免被他人恶意利用,还留着这么明显的特征(搞漏洞研究的人总喜欢署个人或团队的名称,也是可以理解的),有时难免要被请喝茶。
前段时间,工信部发布《网络安全漏洞管理规定(征求意见稿)》,其中限制漏洞披露,遭到国内安全圈的不少反对。个人认为过度限制确实也会影响到国内安全研究的氛围与进步,但这也同时反映过国家层面对”漏洞即武器“这个事实的担忧。
02
—
辱骂型
前几天在微信群里看到的,混淆名称把逆向者骂得是真够狠的,这是得对逆向者有多憎恶啊?大家都是文化人,素质!素质啊!!!
03
—
挑衅型
有人在用Ollydbg调试某游戏辅助应用时,弹出提示”小伙子你太年轻了,就这一个破OD想破我??”,这挑衅的味道很浓烈……
04
—
反击型
曾有人中毒后,试图使用杀软查杀病毒,但被病毒反杀了,还给予警告,第三次就要直接关机了。这说明开发小哥对免杀以及主动防御绕过等杀软对抗技术,还是有两把刷子的。
05
—
求饶型
有些软件作者可能是被破解怕了,直接在软件里留个提醒“兄弟写个软件不容易,求放过!”,直接向破解者求饶。
之前被闹得比较火的一个事情就是一位软件作者被逼向破解者道歉的,在知乎上专帖讨论,破解者署名阿里员工,后来阿里官方还专门发声明说查无此人,原来是个冒牌货。
06
—
自毁型
前几年一位同事打算拆拉卡拉分析固件时,发现拉卡拉会启动自毁程序,如上图所示,直接无法正常使用,这招也是相当有效,对于想做安全研究的同学,是道有力的拦墙。
07
—
交友型
几年前,听一位同事讲的事,他们在解密Google某套前端混淆工具后,看见了Google给的留言,原文早已不记得,大体的意思就是,你能走到这一步,说明你很厉害,欢迎发邮件到xxx@google.com进行交流。还是Google他老人家大度,广结善缘。