RECon 2012 está a poco más de una semana!.
REcon es una conferencia sobre temas relacionados con la seguridad informática y reverse engineering organizada en Canada desde 2005. No cuenta con el presupuesto de otras conferencias de este estilo como
BlackHat/Defcon, tampoco tiene la cantidad de público de estas otras e inclusive podríamos decir que apunta más a un público local que internacional pero, bajo mi punto de vista, todas estas cosas se compensan con la calidad de las charlas y trainings presentados que, en mi opinión, tienen mayor contenido técnico que las charlas presentadas en
BH/Defcon, por ejemplo.
Personas muy reconocidas en el ambiente del
RCE como
Gerardo Richarte,
Alex Ionescu,
Rolf Rolles,
Tomislav Pericin (ap0x),
Nicolas Brulez (
Armadillo Copymen), entre otros, presentan charlas y trainigs año a año que le dan a
RECon ese título de ser una, sino la, conferencia con el mayor nivel técnico.
Este año, junto con
Francisco Falcón, vamos a dar nuestra primer charla en una conferencia de seguridad informática y da la casualidad de que será
RECon el lugar para hacerlo.
En nuestra charla titulada
"Dynamic Binary Instrumentation Frameworks: I know you're there spying on me" vamos a presentar más de una docena de técnicas para determinar si nuestro programa está siendo o no instrumentado por un framework
DBI, haciendo especial foco en
Pin. Además, vamos a presentar una herramienta open-source llamada
eXait para testear todas la técnicas presentadas durante la charla.
No quiero adelantar nada más de la charla, asi que si quieren saber más los invito a que vayan a
RECon o en su defecto que se bajen el material de la charla una vez que termine la conferencia.
Acá les dejo el abstract de nuestra charla.
Hasta pronto!.
"""
Debuggers have been -and still are- the de-facto tool for dynamic analysis of programs. In the last decade a myriad of techniques to detect the presence of these kind of tools have been developed as a defensive measure to avoid the analysis of code during runtime.
Over the past few years, an alternative for dynamic code analysis appeared: Dynamic Binary Instrumentation (DBI) frameworks. These have gained popularity in the information security field, and their usage for reverse engineering tasks is increasing. Nowadays we have DBI-based tools that allow us to perform different kinds of jobs, such as covert debugging, shellcode detection, taint analysis, instruction tracing, automatic unpacking, and self-modifying code analysis, among others.
We believe that as DBI framework-based reverse engineering tools gain popularity, defensive techniques to avoid dynamic code analysis through instrumentation will arise. Our research pretends to be the starting point in the task of documenting and presenting different techniques to detect the presence of DBI framework-based tools.
During our talk we will show over a dozen techniques that can be used to determine if our code is being instrumented focusing on Pin, Intel's DBI framework. We will also release a benchmark-like open source tool, which allows to automatically test every technique discussed in the talk. We call this tool eXait, the eXtensible Anti-Instrumentation Tester.
"""