Спасибо всем большое за ответы. Всё-таки с мальварей торопиться не нужно и поэтому думаю покодить на питоне, поработать немножко и после чего выйду на какой-никакой заработок буду пытаться параллельно учить всё что вы описали выше и может что-то у меня и получиться..)
В том то и дело, что анализируя твою вм, у аверов 100500 возможностей зацепиться за саму сигнатуру вм, даже не разбирая что она там исполняет. В отличии от того же python. Они не могут его забраковать так просто, иначе пострадают остальные юзеры . Однако ты можешь мануально из исходников собрать интерпретатор Python, но слегка изменив и почистив местами правила, например.
#ifndef Py_OPCODE_H
#define Py_OPCODE_H
#ifdef __cplusplus
extern "C" {
#endif
/* Instruction opcodes for compiled code */
#define POP_TOP 1
#define ROT_TWO 2
#define ROT_THREE 3
#define DUP_TOP 4
#define DUP_TOP_TWO 5
#define ROT_FOUR 6
#define NOP 9
#define UNARY_POSITIVE 10
#define UNARY_NEGATIVE 11
#define UNARY_NOT 12
#define UNARY_INVERT 15
#define BINARY_MATRIX_MULTIPLY 16
#define INPLACE_MATRIX_MULTIPLY 17
#define BINARY_POWER 19
#define BINARY_MULTIPLY 20
#define BINARY_MODULO 22
#define BINARY_ADD 23
#define BINARY_SUBTRACT 24
#define BINARY_SUBSCR 25
#define BINARY_FLOOR_DIVIDE 26
#define BINARY_TRUE_DIVIDE 27
...При этом сама ВМ реализована оператором swith? Опкодов много, стало быть swith скомпилируется в таблицу переходов. В итоге оказывается, что имеется оригинальный python.exe и пихон.ехе, отличающийся набором байт в секции данных, на которые ссылается инструкция jmp [addr]. Или я что-то упустил?
Ну обычный декомпилятор это не поймет, реверсеру придется сопоставить новые значения байт-кода, поменять их в сорсах и пересобрать себе интерпретатор (ну или пропатчить существующий интерпретатор), чтобы модули типа dis корректно работали (я вангую, что все декомпиляторы так или иначе используют встроенный модуль dis). Это уже нетривиальная задача, нужен довольно опытный и целеустремленный реверсер, чтобы так заморачиваться. Ну и потом, единственное место, куда аверы могут поставить сигнатуру - новая таблица опкодов, тк в противном случае они будут палить легитимный интерпретатор.
Ну реверсить надо, чтобы понять, что делает малварь. Можно какие-то моменты посмотреть и в динамике в сендбоксе, но особо нет гарантий, что малварь не имеет защиты от запуска внутри твоего сендбокса, так что, если малварь новая и ее еще не разбирали хорошо, то скорее всего ее до какой-то степени в статике (без запуска) разбирать будут.
У Питона порядка 120 опкодов, если мне память не изменяет. Как бы количество перестановок множества из 120 элементов - это довольно большое число, так что можно очень долго переставлять и менять эту таблицу. Для аверов фолс позитивы - тоже большая проблема для имиджа, особенно когда затрагивается такой популярный софт, как Питон. Тут надо действовать аккуратнее. Они в теории не могут проверять бинарник Питона по белому списку, так как у пользователя может быть новая версия Питона, которую еще не успели добавить в белые списки (при этом формат байт-кода не стандартизирован и может меняться даже в минорных версиях), у пользователя может быть своя сборка Питона (или какая-то кастомная сборка, вроде Анаконды или АктивПайтон, или как там они назывались) с определенными настройками оптимизации, или добавленными/удаленными вкомпиленными модулями и так далее. То есть скорее всего, если эта вещь будет палиться, то будет палиться по черному списку (сигнатурам), а менять множество из 120 элементов, сбивая тем самым сигнатуры (если их поставят на джамп-таблицу с опкодами), можно довольно долго.
$ python
Python 3.9.9 (main, Nov 20 2021, 21:30:06)
[GCC 11.1.0] on linux
Type "help", "copyright", "credits" or "license" for more information.
>>> import dis
>>> len(dis.opmap.keys())
119Ну да, но Питон то по-удобнее и по-привычнее для скриптинга. В WASM'е даже сборщика мусора нет (ну или не было, когда я последний раз его смотрел). По той же логике можно взять какой-нибудь Lua или своего рода изотерические, но в принципе хорошие языки, как Umka или Wren, даже для Nim есть доступный в пакете compiler интерпретатор байт-кода. Ну и потом выбор Питона в теории лучше в плане сложности составления сигнатуры аверами, проект большой, бинарники жирные, если они (как они это часто делают) подойдут к сигнатуре наотъебись, то будут фолс позитивы у многих людей, а это - имидживое фиаско для них. Всякий более редкий и менее популярный софт, такой как Lua или тот же Wasm3 интерпретатор можно просто зафачить лажовой сигнатурой и похер, а с Питоном скорее всего так не пройдет. Ну это, конечно, я вангую, пока не попробуешь - не узнаешь.
Я рассматривал вариант с использованием WASM-модулей как плагинов к боту. Васм подкупил своей простотой реализации ВМ, миниатюрным размером самих модулей (простой hello-world на Си, собранный clang'ом умещается в пол килобайта), возможностью компиляции кода на разных ЯП в wasm-байткод (тот же rust, go, c/++, ...) - лично мне как-то удобнее, когда все написано на одном ЯП.
А какие интерпретаторы рассматривал? Wasm3 или еще какой? Не видел, есть ли интерпретатор, который может из WASM-кода вызывать API сторонних библиотек (типа WinAPI вызвать из WASM-кода)?
Да можно любую реализацию ВМ взять. Вот пример: https://github.com/rustrat/rustrat
Так они все умеют внешние функции вызывать из динамических библиотек? Мне казалось, что WASM (и даже WASI) стандарты имеют жестко ограниченный интерфейс и произвольную внешнюю функцию из под них не вызовешь. То есть нужна какая-то ВМ, которая реализует больший чем в стандарте функционал по FFI (foreign function interface). Хотя я толком не смотрел, могу ошибаться.
А как это вообще правильно делать? Обычную вм без внешних вызовов, либо же если язык сам по себе поддерживает рефлексию - вроде понятно как делать. В случае там С#, JS(вообще легко, все сводится к работе с object, property), Java - все достаточно понятно, как организовать, динамически искать и вызывать метод у инстанса класса либо создать инстанс класса по его имени, либо вообще задефайнить класс в динамике. Существует ли возможность создать некую generic функцию, для вызова любой WinAPI? Понятное дело, что как-то языки лоу левела с этим справляются, интересно как. К примеру функция принимает на вход некую структуру. Я правильно понимаю, что используются извраты для того, чтобы задефайнить и проинициализировать структуру на рантайме? Или это делается иначе как-то?
Вообще, это не особо тривиальная херня. FFI в скриптовых языках довольно жирные, особенно в языках с динамической типизацией. Там разные объекты (а они обычно в прослойках, типа object для Питона, где любая херня - это подкласс object, а True, False и None - вообще синглтоны в рантайме, унаследованные от object) приводятся к типам, понятным процессору. В C# образно строка (которая, например в C# UTF-16) будет автоматом приводиться к ANSI для вызова WinAPI функции <что-то_там>A (при PInvoke ты для этого указываешь CharSet атрибут), поэтому в C# всегда быстрее вызывать <что-то_там>W функции. И в Питоне и в Шарпах там нихеровый такой слой, который эти все преобразования делает, а потом за собой еще и выделенную память подчищает. Но для примера можно посмотреть AngelScript, который довольно простой в этом плане: https://github.com/IngwiePhoenix/An.../angelscript/source/as_callfunc_x64_mingw.cpp - и это только для одной архитектуры - x64, где по сути только одна конвенция вызовов существует - fastcall. Мы на васме вроде обсуждали, можно ли в принципе обойтись для этого без ассемблерных вставок (на чистой православной сишечке), и, если мне не изменяет память, решили, что нельзя. Поэтому я немного удивился, когда услышал, что WASM умеет произвольные функции вызывать. Загрузить библиотеку (LoadLibrary/dlopen) и найти функцию (GetProcAddress/dlsym) - просто, сложно становится, когда эту функцию нужно вызвать. Рантайм должен точно знать, как вызывать эту функцию и как конвертировать аргументы.
Вот именно. Получается перестановочный шифр? По сути интерпретатор выполняет white-box дешифрование. При этом известны частоты появления опкодов. С частотами возможны нюансы, но так же известны образцы незашифрованного текста (какие-нибудь прологи-эпилоги или другие типовые конструкции).
Ну тут я не знаю. Меня когда-то учили в школе, что решать задачи правильнее в общем виде. В таком случае сам по себе сигнатурный анализ уже имиджевая проблема. С другой стороны, можно подсчитать комбинации перестановок и анонсировать детект 100500 вариантов pyhon.zerodey.shelcodes.
Да, если реализовать FFI. Пример реализации скидывал выше (https://github.com/rustrat/rustrat/).
Щас посмотрю, но мне кажется, что Wasm3 не умеет делать внешних вызовов.
