阿里安全獵戶座實驗室首創的「自動逆向機器人」，了解一下？

來自專欄阿里聚安全的安全專欄16 人贊了文章

近日舉辦的看雪安全開發者峰會上，阿里安全獵戶座實驗室首度向外界展示了最新的研究成果——「自動逆向機器人」。該機器人可以像醫生一樣「望聞問切」，對程序進行顯微鏡級別的勘察，並完整「回放」其運作過程，因此，可以偵測出程序中的漏洞或隱蔽行為。據悉，該機器人被命名為TimePlayer。

阿里安全獵戶座實驗室負責人杭特認為，逆向能力是安全從業人員必須具備的基本功。杭特打了一個形象的比方，他介紹說，「逆向」就如同醫生看病一樣，通過望聞問切、各種化驗，甚至是CT核磁共振，這些手段都是為了一個目的，弄清楚病因。對程序進行逆向，就是為了弄清楚程序究竟在做什麼。

杭特指出，在當前的安全行業，逆向工作基本都是不斷重複的、純體力的。而阿里安全獵戶座實驗室TimePlayer的最大價值就是可以將安全從業人員逆向工作的大部分能力完全自動化。

阿里安全獵戶座實驗室研究人員弗為在看雪論壇上的演講中稱，TimePlayer集「攝像機」、「播放機」和下「顯微鏡」三大功能於一身。如果要分析一個程序，只需在TimePlayer中運行一次就可以，它會把該程序所有的行為全部忠實地記錄下來，而且不會遺漏任何細節。不僅如此，TimePlayer還可以將「拍攝」的內容進行向前放、向後放、快放、慢放，能夠放大任意處的細節並且追蹤任意的目標。最重要的是，TimePlayer對於程序行為的勘察粒度達到了指令級別。

「TimePlayer正如其名一樣，攝像和播放的結果一模一樣，要做到這點是非常有挑戰性的。」阿里安全獵戶座實驗室研究人員弗為表示，「現在隨便一個APP都有幾十億條指令，如果要逆向這些APP，TimePlayer一條指令都不會遺漏。」

弗為在演講中，以臭名昭著的WannaCry勒索病毒為例，現場演示了如何通過TimePlayer在系統內核中精確定位，找回RSA私鑰。據弗為介紹，由於WannaCry勒索病毒刻意地刪除了本機的「私鑰」，因此，理論上只能掏錢向勒索者獲取，這曾經使得諸多安全廠商束手無策，但阿里安全獵戶座實驗室的研究人員通過TimePlayer獨家發現，「私鑰」實際上在用戶態和內核態均有殘留，且相較於暴力搜索用戶態內存方法，精準的內核態殘留提取更為穩定。

另外，弗為還演示了如何通過TimePlayer逆向超級複雜的文件格式。弗為在演講中表示，即便是逆向DOC這類超級複雜的文件格式，也是輕而易舉——只需要把DOC文檔放到TimePlayer中打開，就能自動化地對文件進行分析。以前要好幾個人耗費數年時間的分析工作，TimePlayer幾天時間就可以搞定，而且無需人員參與。

眾所周知，攻防是個對抗的過程。為了對抗人工逆向，防護人員開發了各種各樣的工具和產品提升逆向難度，其中最有名的叫做「虛擬機殼」。弗為在演講中也演示了輕鬆突破這種「迷魂陣」的方法，那就是用TimePlayer。

阿里安全獵戶座實驗室負責人杭特指出，在全球範圍來看，TimePlayer的能力是領先的、獨一無二的。它出現可以說填補了安全行業的一大空白，同時也證明，二進位的黑盒性質，代碼混淆的障眼法，終有失效的一天 。