前回，パッカーを作るための前知識を説明しました．今回からコードを書いて，作っていこうと思います．前回にも言いましたが，コードの内容は「アナライジング・マルウェア」という書籍を大いに参考にしていますが，こちらはWindowsように書かれており，今回はLinuxで書くことでかなり違ったものになりました．

ファイルの読み込み

まずは，パックする対象のファイルを読み込みます．

target_filename = argv[1];
packed_filename = argv[2];

fd = open(target_filename, O_RDONLY);
target_bin = fdopen(fd, "rb");

fstat(fd, &stbuf);

unsigned char target_bin_buffer[stbuf.st_size];

fread(target_bin_buffer, 1, sizeof(target_bin_buffer), target_bin);
    
fclose(target_bin);

fopenで読み込んでも良いのですが，読み込むファイルのサイズなどを取得しなければいけないことから，openを使ってファイルディスクリプターを取得するところからやっています．

ファイルのサイズと同サイズの領域を用意し，そこに読み込んでいます．

各ヘッダの読み込み

ファイルを読み込んだら，次に各ヘッダの値を読み込んでいきます．

ehdr = (Elf32_Ehdr *)target_bin_buffer;
shdr = (Elf32_Shdr *)(&target_bin_buffer[ehdr->e_shoff]);
phdr = (Elf32_Phdr *)(&target_bin_buffer[ehdr->e_phoff]);

ehdr, shdr, phdrがそれぞれ，elf header, section header, program headerとなっています． コードは少し読みにくくなってしまいましたが，先頭にあるelf headerを読み込んでから，オフセットを指定して，他のヘッダのポインタを読み込むようにしています．

コードセクションの検索

今回作るパッカーでは，エントリポイントを含むコードセクションのみエンコードを行います．UPXなどのパッカーでは，全てのセクションを圧縮することができるらしいのですが，何も考えずに全てのセクションをエンコードするものを作ってしまうと，おそらく，プログラム実行に必要な情報(シンボル情報や，plt,gotなど関数のリンク作業)まで失われてしまってデコードしても正しく実行できなくなってしまいます． ということで，エントリポイントを含むセクションの検索を行います．セクションの検索を行う関数は次のようになります．

Elf32_Shdr *search_oep_include_section_header(
    Elf32_Shdr *shdr, unsigned int oep, unsigned int shnum){

    Elf32_Shdr *oep_shdr = NULL;
    unsigned int section_addr;
    unsigned int section_size;

    printf("search oep include section header\n");

    for(int i=0; i < shnum; i++, shdr++){
        section_addr = shdr->sh_addr;
        section_size = shdr->sh_size;
        //printf("addr:0x%08X size:0x%08X oep:0x%08x\n", shdr->p_vaddr, shdr->p_memsz, oep);
        
        if(section_addr <= oep && 
            oep <= section_addr + section_size){
            printf("oep section found!\n");
            oep_shdr = shdr;
            break;
        }
    }

    return oep_shdr;

}

ヘッダーテーブルの中を先頭から一つずつ見ていって，アドレスがエントリポイントを含んでいるかどうかを調べているだけです．見つけたらそのヘッダを返すということをしています．

見つけたら，そのセクションから必要な情報を取り出します．

//oep include section search
oep_shdr = search_oep_include_section_header(shdr, ehdr->e_entry, ehdr->e_shnum); 
  
//get oep include section values
section_vaddr = oep_shdr->sh_addr;
section_vsize = oep_shdr->sh_size;
section_raddr = oep_shdr->sh_offset;

また，直接エンコードと関係はないのですが，後半で説明するとある事情により，エントリポイントを含むセグメントも検索しないといけません．なので，同じ要領で検索します．

Elf32_Phdr *search_oep_include_segment_header(
    Elf32_Phdr *phdr, unsigned int oep, unsigned int phnum){

    Elf32_Phdr *oep_phdr = NULL;
    unsigned int section_vaddr;
    unsigned int section_vsize;

    printf("search oep include section header\n");

    for(int i=0; i < phnum; i++, phdr++){
        section_vaddr = phdr->p_vaddr;
        section_vsize = phdr->p_memsz;
        printf("addr:0x%08X size:0x%08X oep:0x%08x\n", section_vaddr, section_vsize, oep);
        
        if(section_vaddr <= oep && 
            oep <= section_vaddr + section_vsize){
            printf("oep section found!\n");
            oep_phdr = phdr;
            break;
        }
    }

    return oep_phdr;

}

エンコード

次に，該当セクションをエンコードしていきます．エンコードする関数が次になります．

void xor_encoder(unsigned char *start, unsigned int size, unsigned char encoder)
{
    unsigned int  cnt=0;

    printf("Start Xor Encode by '0x%X'\n", encoder);
    for(cnt=0; cnt<size; cnt++){
        start[cnt] ^= encoder;
    }
    printf("Encode Done\n");
}

開始アドレスとサイズ，エンコードする値を指定して，開始アドレスから１バイトずつ取ってきて順次エンコードしています． 使うときはこんな感じ

encoder = 0xFF;
xor_encoder((unsigned char *)(oep_shdr->sh_offset + target_bin_buffer), oep_shdr->sh_size, encoder);

展開コードの生成

エンコードしたコードをデコードするルーチンを生成して追加します．生成する関数が次になります．

unsigned char decode_stub[] = {
    0x60,              // pushad
    0xBE,0xFF,0xFF,0xFF,0xFF,  // mov esi, decode_start
    0xB9,0xFF,0xFF,0xFF,0xFF,  // mov ecx, decode_size
    0xB0,0xFF,            // mov al, decoder
    0x30,0x06,            // xor byte ptr [esi], al (LOOP)
    0x46,              // inc esi
    0x49,              // dec ecx
    0x75,0xFA,            // jnz LOOP
    0x61,              // popad
    0xE9,0xFF,0xFF,0xFF,0xFF   // jmp OEP
};

unsigned int decode_start_offset = 2;
unsigned int decode_size_offset  = 7;
unsigned int decoder_offset      = 12;
unsigned int jmp_oep_addr_offset = 21;

void create_decode_stub(unsigned int code_vaddr, unsigned int code_vsize,
        unsigned char decoder, unsigned int oep)
{
    int    cnt=0;
    int    jmp_len_to_oep=0;

    jmp_len_to_oep = oep - (code_vaddr + code_vsize + sizeof(decode_stub));

    printf("start   : 0x%08X\n", code_vaddr);
    printf("size    : 0x%08X\n", code_vsize);
    printf("decoder : 0x%02X\n", decoder);
    printf("oep     : 0x%08X\n", oep);
    printf("jmp len : 0x%08X\n", jmp_len_to_oep);

    memcpy(&decode_stub[decode_start_offset], &code_vaddr, sizeof(DWORD));
    memcpy(&decode_stub[decode_size_offset],  &code_vsize, sizeof(DWORD));
    memcpy(&decode_stub[decoder_offset],  &decoder, sizeof(unsigned char));
    memcpy(&decode_stub[jmp_oep_addr_offset],  &jmp_len_to_oep, sizeof(DWORD));

    return;

}

decode_stubという展開コードのテンプレートのようなものを書いて，具体的な値をcreate_decode_stub関数で与えています．decode_stubで0xFFとなっているところは大体何かが代入されるところです． decode_stubの内容はコメントにつけたアセンブリコードのとおりなのですが，やっていることはxorでデコードしているだけです． このコードは参考書籍に載っているものをほんの少しだけLinux用に改造して転用させていただきました．ハフマン符号などでエンコードした場合，ハフマン符号のデコードも機械語で記述しなければならず，それが私にはできなかったため断念しました．

なにはともあれとりあえず作ったのでこんな感じで生成して，生成したコードを読み込んだファイルの後ろにくっつけます．

create_decode_stub(section_vaddr, section_vsize, encoder, ehdr->e_entry);
memcpy((unsigned char *)(section_raddr + section_vsize + target_bin_buffer), decode_stub, sizeof(decode_stub));

情報の書き換え

当初読み込んだファイルから色々と変更しているため，元々の情報を書き換える必要があります．

ehdr->e_entry = section_vaddr + section_vsize;

oep_phdr->p_flags |= PF_W;

一行目は，展開コードをまず実行してもらいたいので，エントリポイントを変更しています． 二行目は，展開コード内で，エンコードされているコードを書き換える必要があるため，本来持っていない書き込み権限を付与しています． 今まで，領域を操作するときはセクション単位で行ってきていたのですが，この権限の部分だけセグメントの単位で行わないとなぜかうまくいかなくて悩みました．そのため．エントリポイントを含むセグメントも同時に検索していました．

書き出し

最後は，出来上がったコードをファイルに書き出して，パッキング終了となります．

packed_bin = fopen(packed_filename, "wb");
    
fwrite(target_bin_buffer, sizeof(target_bin_buffer), 1, packed_bin); 

実行

さてここまでで，一連のパッカーの処理を作り終えたので，実行してみます． まず，適当なプログラムを書き，testという名前で実行ファイルを作ります．

#include <stdio.h>

int main(){
        printf("Hello, World!\n");
        return 0;
}

パッキングします．

$  ./a.out test packed
search oep include section header
oep section found!
search oep include section header
addr:0x08048034 size:0x00000120 oep:0x08048310
addr:0x08048154 size:0x00000013 oep:0x08048310
addr:0x08048000 size:0x000005C8 oep:0x08048310
oep section found!
Start Xor Encode by '0xFF'
Encode Done
start   : 0x08048310
size    : 0x00000192
decoder : 0xFF
oep     : 0x08048310
jmp len : 0xFFFFFE55

実行します．

$  ./packed
Hello, World!
Segmentation fault (core dumped)

なんかいらんもんがくっついてしまっとりますが，とりあえず出来たということにしてくださいm(＿)m

検証

実際にパッキングできているのかどうか少し調べます． objdumpで逆アセンブルすると，

0804840b <main>:
 804840b:   72 b3                   jb     80483c0 <__do_global_dtors_aux>
 804840d:   db fb                   (bad)  
 804840f:   7c 1b                   jl     804842c <main+0x21>
 8048411:   0f 00 8e 03 aa 76 1a    str    WORD PTR [esi+0x1a76aa03]
 8048418:   ae                      scas   al,BYTE PTR es:[edi]
 8048419:   7c 13                   jl     804842e <main+0x23>
 804841b:   fb                      sti    
 804841c:   7c 13                   jl     8048431 <main+0x26>
 804841e:   f3 97                   repz xchg edi,eax
 8048420:   3f                      aas    
 8048421:   7b fb                   jnp    804841e <main+0x13>
 8048423:   f7 17                   not    DWORD PTR [edi]
 8048425:   48                      dec    eax
 8048426:   01 00                   add    DWORD PTR [eax],eax
 8048428:   00 7c 3b ef             add    BYTE PTR [ebx+edi*1-0x11],bh
 804842c:   47                      inc    edi
 804842d:   ff                      (bad)  
 804842e:   ff                      (bad)  
 804842f:   ff                      (bad)  
 8048430:   ff 74 b2 03             push   DWORD PTR [edx+esi*4+0x3]
 8048434:   36 72 9e                ss jb  80483d5 <__do_global_dtors_aux+0x15>
 8048437:   03 3c 99                add    edi,DWORD PTR [ecx+ebx*4]
 804843a:   6f                      outs   dx,DWORD PTR ds:[esi]
 804843b:   99                      cdq    
 804843c:   6f                      outs   dx,DWORD PTR ds:[esi]
 804843d:   99                      cdq    
 804843e:   6f                      outs   dx,DWORD PTR ds:[esi]
 804843f:   6f                      outs   dx,DWORD PTR ds:[esi]

意味のわからないコードになっていることがわかると思います．

ただ，エンコードしているのはテキストセグメントだけなので，シンボル情報などは全てそのままになっているので，gdbでmainまで実行させると

$ b main
Breakpoint 1 at 0x804840b
$ run
....
$ disas main
Dump of assembler code for function main:
   0x0804840b <+0>:   jb     0x8048459 <__libc_csu_init+25>
   0x0804840d <+2>:   and    al,0x4
   0x0804840f <+4>:   and    esp,0xfffffff0
=> 0x08048412 <+7>:    push   DWORD PTR [ecx-0x4]
   0x08048415 <+10>:  push   ebp
   0x08048416 <+11>:  mov    ebp,esp
   0x08048418 <+13>:  push   ecx
   0x08048419 <+14>:  sub    esp,0x4
   0x0804841c <+17>:  sub    esp,0xc
   0x0804841f <+20>:  push   0x80484c0
   0x08048424 <+25>:  call   0x80482e0 <puts@plt>
   0x08048429 <+30>:  add    esp,0x10
   0x0804842c <+33>:  mov    eax,0x0
   0x08048431 <+38>:  mov    ecx,DWORD PTR [ebp-0x4]
   0x08048434 <+41>:  leave  
   0x08048435 <+42>:  lea    esp,[ecx-0x4]
   0x08048438 <+45>:  ret    
End of assembler dump.

よく見る形のコードになっていますね．

ここに問題がないことがわかるので，あのSegmentation fault (core dumped)はretの後に起こってるんでしょうね．おそらく，単純に読み込んだバッファの後ろにそのまま展開コードをくっつけたのが悪かったんだと思うのですが，直すのはまた今度にします．

まとめ

今回は，前回解説した知識をもとに実際にパッカーのコードを書きました．書きましたと言っても，書籍のコードを書き換えただけなのですが，これが意外と大変だった．また，改めて見直すとめちゃくちゃ汚いコードを書いていることに気づきました．もうちょっと直したり改造して，また投稿したいと思います．

参考文献

アナライジング・マルウェア ―フリーツールを使った感染事案対処 (Art Of Reversing)

• 作者: 新井悠,岩村誠,川古谷裕平,青木一史,星澤裕二
• 出版社/メーカー: オライリージャパン
• 発売日: 2010/12/20
• メディア: 単行本（ソフトカバー）
• 購入: 8人 クリック: 315回
• この商品を含むブログ (22件) を見る

ELF入門 - 情弱ログ

ELF Format

ハフマン符号とは，1952年にデビッド・ハフマンによって考案された符号化手法です．対象のデータの出現する値の偏りによって割り当てるビット数を変更することで冗長性を排除する手法です．ハフマン木と呼ばれる木構造のデータを構築することでエンコードし，根から葉へ辿ることでデコードできる仕組みになっています．

非常に古い手法ですが，今でもバリバリ現役で使用されている手法です．

ハフマン木

ハフマン符号化において重要かつ，難しいのは木を構築する部分です．これを説明します． ハフマン木を構築する流れは以下のようになっています．

対象データから，各値の出現頻度を求め，出現テーブルを作る ↓ 出現テーブルの中から最も出現頻度の低い２つの値を取り出し，その二つをまとめて一つの木にする． ↓ 二つの合計値を新たに対象データの出現テーブルに加える ↓ 出現テーブルのデータが全て取り出されるまで繰り返す

というようになっています．

例えばテキストデータを対象に A:8 B:2 C:7 というような出現テーブルが作れた場合，まず出現頻度の最も低いB,Cが取り出されて木になります．

二つを合計したデータとして一時的にαという記号を使用しています．

これにより，テーブルは次のように更新されます． A:8 α:9

同じように取り出して木を作ると

このようになり，ハフマン木の完成です．

デコードは，rootからノードをたどっていくのですが，例えば，右のノードに１，左のノードに０を追加していくように設定すると(これはどちらでも良いがエンコードとデコードで合わせる必要がある)

このように割り当てられて，各値は次のようにエンコードされたことがわかります．

A:1 B:00 C:01

三文字しかないデータで例を表してしまったため，いまいち効果を実感しにくいですが，一番多く出ている値Aに一番小さいビットが当てられています．

ハフマン符号の理論的な部分はこのように非常に簡単なものになっています．

実装

ハフマン符号はの実装方法には色々とあるのですが，今回は理論通りに実際に木構造を生成してエンコードする方法をやっていこうと思います． まずは，各値を表すノードの宣言を行います．pythonにおいて構造体を表すには，ディクショナリでよいみたいなことを聞いたのですが，色々都合がいいのでメソッドを持たないオブジェクトを作ることにします．

class Node:
    def __init__(self, code, count=0, left=None, right=None, parent=None):
        self.key = count
        self.code = code
        self.count = count
        self.left = left
        self.right = right
        self.parent = parent
        self.bitcode = ''

ハフマン木の生成は一つのオブジェクトにします．

class HuffTree:
    def __init__(self):
        self.histgram = {}
        self.leaf = {}
        self.root = None

    def makeHistgram(self, f):
        data = f.read()
        for c in data:
            if c not in self.histgram.keys():
                self.histgram[c] = 1
            else:
                self.histgram[c] += 1

    def makeTree(self):
        pq = nodepq.PriorityQueue()
        for k in self.histgram.keys():
            pq.push(Node(k, self.histgram[k]))

        while True:
            x = pq.pop()
            if x.left == None and x.right == None:
                self.leaf[x.code] = x

            if pq.empty():
                break

            y = pq.pop()
            if y.left == None and y.right == None:
                self.leaf[y.code] = y

            node = Node(None, x.count+y.count, x, y, None)
            x.parent = y.parent = node

            pq.push(node)

        self.root = x

    def encode(self, node, bitcode=''):
        if node.code != None:
            node.bitcode = bitcode
        else:
            self.encode(node=node.left, bitcode=bitcode+'0')
            self.encode(node=node.right, bitcode=bitcode+'1')

    def decode(self, node, bitcode):
        if bitcode == '' and node.code == None:
            return -1
        elif bitcode == '' and node.code != None:
            return node.code
        else:
            if bitcode[0] == '1':
                return self.decode(node.right, bitcode[1:])
            elif bitcode[0] == '0':
                return self.decode(node.left, bitcode[1:])

makeHistgramメソッドはファイルのデータを読み込んで，出現したデータがテーブルの中に存在していなかったら追加し，存在していたらデータの数を増やしていく処理をしています．

makeTreeメソッドが一番キモになっているメソッドで，ハフマン木を実際に構築しています．まずプライオリティーキューを用意します．これは具体的なアルゴリズムはここでは説明しませんが，キューに追加したデータから，一番小さいものを取り出すことができます．今回の場合，追加するデータは複数のデータを持つ構造体であるため，出現回数をキーとしてキューの中でソートするように少し改造しています．あとは単純で，取り出して枝を設定して，再度キューに追加する，ということをデータが最後の一つになるまで繰り返しています．

encode,decodeは再帰処理を行って，上記理論で説明したようなことをそのまま行っています．

tree = HuffTree()
    with open(<符号化の対象ファイル>, 'rb') as f:
        tree.makeHistgram(f)
    tree.makeTree()
    tree.encode(tree.root)

    print(tree.histgram)
    for k in tree.leaf:
        print('{} -> {}'.format(chr(k), tree.leaf[k].bitcode))

こんな感じでmainをかくと符号化されたコードが出てきます． 対象ファイルデータ AAAAAAAAABBBBBBCCCCCCCCAAAAAAABCBC AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAABCBABC

 -> 010
B -> 011
C -> 00
A -> 1

一つ目は改行コードです．いい感じに符号化されていると思います．

まとめ

ハフマン符号は理論こそ単純なもののあまりコードを書くことに慣れていなかった僕は，実装方法に色々悩みました．こういたアルゴリズムはプログラミングのいい練習になるのでとても良かったです．

参考文献

www.geocities.co.jp

qiita.com

詳解 圧縮処理プログラミング

• 作者: 昌達慶仁
• 出版社/メーカー: SBクリエイティブ
• 発売日: 2010/10/26
• メディア: 単行本
• 購入: 1人 クリック: 171回
• この商品を含むブログ (3件) を見る

最近圧縮技術について学んでいるので，学んだことを随時ブログに書いていこうと思っています． 初回記事ですが早速，今回はランレングス圧縮について学んでいきます．

ランレングス圧縮とは

ランレングス圧縮を大雑把に説明すると，連続した同じデータをひとまとめにする圧縮技術のことです．例えば

AAAAABBBBBBCCCCC

というようなデータ列があると，Aが5個，Bが6個，Cが5個というように数えていくことがあると思いますが，これをそのまま

A5B6C5

と符号化して情報量を圧縮する方式です．ここで，データがいくつ並んでいるかを表す数値をラン長と呼びます．

メリット

ランレングス圧縮のメリットとしては以下のようなものが挙げられます．

• 処理が単純
• 圧縮するデータが２値など，少ないデータ種類で構成されている場合圧縮率が良い

上記で説明したように連続したデータをまとめるだけの処理なので簡単に実装でき，扱いやすいです．また，連続すればするほど一気に圧縮できるので，例えば黒と白のみで構成された画像を圧縮する際などはデータが連続する確率が高いので圧縮率が良くなります．

デメリット

単純であるが故にデメリットもあります．

• データの並びによってはデータが膨張する場合がある．

これは致命的なデメリットです．データをまとめて記述するとは言えラン長というデータを追加するため，例えば，

ABCABCABC

というデータの場合，

A1B1C1A1B1C1A1B1C1

というようにわざわざ与えなくてもいいようなところまでラン長を追加してしまって，データが２倍になります．が，これについては後述するランレングスの応用でなんとかなったりします．

ランレングスの実装

解説を踏まえて実装していきます．使用言語はPythonです．

def getRunLength(data, processPtr, code):
    run = 0

    while processPtr < len(data) and code == data[processPtr] and run < 0xff :
        processPtr += 1
        run += 1

    return (run,processPtr)

受け取ったデータの処理開始点(processPtr)から続くラン長を取得します．そして，次に処理すべき点を返すようにします．ラン長は1バイトに納めたいので256バイト以上同じデータが続くようであればそこで終了し，次につなげます．

これを用いてエンコードします．

from struct import pack, unpack_from

def encode_RLE(data):
    encode_data = b''
    processPtr = 0

    while processPtr < len(data) - 1: 
        code = data[processPtr]
        run,processPtr = getRunLength(data, processPtr, code )
        encode_data += pack('B',code) + pack('B',run)

    return encode_data

バイナリデータを扱うので，structモジュールをインポートしています．

データの最後までループを回し，ラン長を取得するたびにデータ値 + ラン長の形式で書き込んでいきます．特に複雑な部分はありません．

デコードはその逆をそのままやる感じです．

def decode_RLE(data):
    decode_data = b''
    it = iter(data)

    for code, run in zip(it, it):
        decode_data += pack('B',code) * run

    return decode_data

エンコードされたデータを受け取り，イテレータを作成して，zipという関数を用いて二つずつ取り出すようにしています．このイテレータを扱うのがスクリプト言語っぽくていいですね．もっと使いこなしていきたいです．

ランレングス圧縮の応用

上でも述べたように，このままだとデータにばらつきがある場合処理後のデータが膨張してしまう可能性があります．これについて，ラン長が１の場合にはラン長を記録しないといったような応用方法が考案されています．名前がついているものであればPackBitsという方法があったりします．これについては次回勉強していきたいと思います．

まとめ

圧縮入門ということで基本的なランレングス圧縮を学びました．このランレングス，非常に単純なものなんですが画像分野では今でもちゃんと使われているらしいです．

初回記事なので稚拙な部分もあったりしたと思いますが，これからもこのように理論を学んで実装するという形式で進めていこうと思います．

参考文献

詳解 圧縮処理プログラミング

• 作者: 昌達慶仁
• 出版社/メーカー: SBクリエイティブ
• 発売日: 2010/10/26
• メディア: 単行本
• 購入: 1人 クリック: 171回
• この商品を含むブログ (3件) を見る