Técnicas avanzadas de ofuscación de código ejecutable x86
May 4, 2007, 9:44 am
http://www.noconname.org/ponentes/2005/05%20-%20NcN_2005_Ofuscacion_de_codigo_x86.pdf
Mucho se ha escrito y trabajado sobre la ofuscación de código fuente, hasta el punto de que esta técnica es imprescindible en cualquier código malicioso moderno. Englobadas dentro de las categorías de polimorfismo, metamorfismo, oligomorfismo u ofuscación del punto de entrada (EPO) podemos encontrar multitud de técnicas. Sin embargo, apenas hay trabajo hecho sobre la ofuscación de código ejecutable. Es decir, dado un ejecutable para I86, del que no disponemos de código fuente, ¿es posible ofuscar el mismo para dificultar al máximo su desensamblado? En este artículo analizamos y presentamos algunas técnicas novedosas para la ofuscación de llamadas a procedimientos (instrucción CALL) y se presenta una serie de ataques efectivos contra el, probablemente, desemsamblador más conocido: el IDA Pro.
Palabras clave: Ofuscación de código, desensambladores, IDA.