読者です 読者をやめる 読者になる 読者になる

拾い物のコンパス

まともに書いたメモ

volatilityにプロファイルを追加する方法

メモリダンプ解析用ツールvolatilityはデフォルトではWindowsのメモリダンプのみが解析できる.LinuxOSXで作成されたメモリダンプを解析するためにはプロファイルを追加してやれば良い.公式から用意されているものを使うこともできるし,自作することもできる.

概要

プロファイルの追加は定義ファイルを追加すればよい.いくつかは公式から用意されており,基本的にはGithubからcloneするだけで使える.

$ git clone https://github.com/volatilityfoundation/profiles
$ cd profiles
$ find -type d -maxdepth 2
... snip ...
./Mac
./Mac/10.10
./Mac/10.5
./Mac/10.8
./Mac/10.9
./Mac/10.6
./Mac/10.12
./Mac/10.7
./Mac/10.11
./Linux
./Linux/Fedora
./Linux/Ubuntu
./Linux/Debian
./Linux/CentOS
./Linux/RedHat
./Linux/OpenSUSE
... snip ...

以上のように複数のディストリのプロファイルが用意されている.各ファイルにはx86x64がある.

使い方

使い方はvol.pyまたはvolatiltyが参照しているpluginsというディレクトリにZIPのままコピーする.
以下はUbuntu14043x64版のプロファイルを使えるようにする場合.

$ pwd
profiles
# ローカルなvolatilityを使っている場合
$ cp Linux/Ubuntu/x64/Ubuntu14043.zip volatility/plugins/Linux
# apt/pacmanなどでインストールしたvolatilityを使っている場合
$ cp Linux/Ubuntu/x64/Ubuntu14043.zip /usr/lib/python2.7/site-packages/volatility/plugins/linux/

確認

以下は,/usr/lib/python2.7/site-packages/volatility/plugins/linux/にコピーした場合のコマンド.

$ volatility --info
Profiles                                                                                                         
--------                                                                                                         
LinuxUbuntu14043x64 - A Profile for Linux Ubuntu14043 x64
VistaSP0x64         - A Profile for Windows Vista SP0 x64                                    
VistaSP0x86         - A Profile for Windows Vista SP0 x86                                    
VistaSP1x64         - A Profile for Windows Vista SP1 x64                             
VistaSP1x86         - A Profile for Windows Vista SP1 x86                                                                         
... snip ...

後は通常通り
$ volatility -f <dump_file> --profile=LinuxUbuntu14043x64 linux_lsof
といった感じで解析できる.

プロファイルを自作する

IIJがいい感じでまとめていた.自作したい人はこちらを参照.ツールがvolatilityに用意されているから,作成したいディストリ上でmakeしてzipするだけのようだ.特定のバージョンを作りたいときはカーネルrpmで持ってくる必要あり.

Internet Infrastructure Review(IIR)Vol.32 | IIJの技術/セキュリティレポート | IIJ

おまけ

ZIPファイルはplugins以下に置けば認識してくれるから,

$ cp profile.zip /usr/lib/python2.7/site-packages/volatility/plugins/self_made

といった目的別に分けることもできる.便利.

サイボウズの開発インターンに参加してきた

サイボウズで行われている開発インターンに3週間行ってきた.何をしたのかを含めて振り返りを書き残す.

きっかけ

就職が近くなってきて,どこか行かなきゃとは思うけどどこにいったらいいのかわからない.
周りの人は有名企業のエリートコースを狙って頑張っているが,それらの職業は上流過ぎて今持っている技術力は全然活かせそうにない.(でも稼ぎたい)
技術を活かしたり,磨くのが好きだから,これができるであろうエンジニアとして働くことを考え,職業としてのエンジニアを深く見たいからちょっと長めで現場で働けるインターンを探した.
いくつか候補は見つけた中で,IPAのセキュリティイベントでよく聞く川合秀実さんのいるサイボウズに興味を持ち,行ってみた.因みに,行く前のサイボウズに対する印象は

開発インターンは通年で募集している.kintoneというWebサービスの開発チームと一緒に機能の拡張や実装を行っていくインターン
デフォルトは10日間だが,実装に心残りが出ると思ったため,もう一週間長くやりたいと言うだけ言ってみた.向こうも考えてくれた上で受け入れてくれた.有り難い.
勤務地はサイボウズの本社支社がある,東京・大阪・松山のどれかを希望できる.比較的近い大阪支社に行かせてもらった.離れた場所に住んでいても,部屋を手配してもらうことは可能らしい.
余談だが,インターン期間中は1日1万円の報酬がついている.本職エンジニアの技や生活を学べる上にお金をもらえるなんて素晴らしい.

大阪支社の場所

阪急梅田駅から直進徒歩5分もかからない場所にある阪急梅田ビルの35階.屋上駐車場を見下ろすことができる高さで,見晴らしはムスカ大佐.雨で霧がかかっている日は街が3割増し幻想的に見えた.画像は夕方. f:id:poppycompass:20170310020017j:plain

kintoneについて

f:id:poppycompass:20170310013715g:plain kintoneというサービスについて軽い説明をする.(インターン前はkintoneの名前・有用性がよくわかっていなかった)
サイボウズが提供しているサービスは「Office」「Live」「Garoon」「kintone」などがある.それぞれグループを作って会話したり,予定管理をまとめることができたりする.
kintoneはSlackみたいなチャット機能に加えて,テーマなどをまとめるスレッド・スペースを管理できる.大きな特徴として,kintoneでは既存のパーツなどを使って目的に応じたアプリを作成することができる.例えば,製品開発の進捗を行単位のレコードで表すアプリを作成したいときには,任意の数の列や選択を設定することができる. 使い込む時間はなかったが,データ管理については柔軟性が非常に大きいと思う.仕事向きに作られているから,学生の間では利点が伝わりにくいのが残念.

主に使うのはチャット機能で,色んな人の投稿を眺めることができる.数時間見ないでいると50件以上溜まったりするから驚くが,一覧にすると見やすいから問題はない.
インターン中は自分のつぶやきスペースで思いついたことをつぶやいたり,わからないことを質問すると誰かが答えてくれた.
サイボウズのアメニティグッズにキリンやゴリラがプリントされることがあるから,てっきりイメージキャラクターだと思っていたが,現場のエンジニア曰く公式キャラはいないらしい.黄色いからキリンがキャラだと思っていた.

職場の雰囲気

メンター(主に教えてくれる人)は非常に丁寧に対応してくれる人で,こちらの細かな質問にも一つ一つ答えてくれた.
周りの社員の方々がそれぞれの就職に対する考え方についても教えてくれたので,非常に参考になった. 経営理念として,「チームワークあふれる社会を創る」とあり,それを実現していることを実感した.

社長挨拶 | サイボウズ株式会社

kintoneでつぶやくと,近くの席の人が直接話しかけてくることもあって楽しかった.東京のエンジニアから返事が来ることもあり,自社製品で全社をしっかり繋いでいる印象だった.
概ねいい場所だが,難点も当然ある.それは質問する時.メンターの人が在宅勤務や出張などでいないときは,チャット機能を使って質問することになる.直接話すときと違い,タイプや考えることでレスポンスが遅くなるため,ストレスを感じることもあった.これを解決するためにテレビ電話があるが,インターン中は使い方がよくわからず放置してしまった.早めに使えばよかった・・・.
在宅勤務は仕事に集中できるのかという質問をしてみたところ,「在宅だとリミッターが外れて出社するよりも仕事が進んで止められない.そんな人間を採用しているから大丈夫」といった返答をいただいた.理由がとってもサイボウズ

メンターはこちらの質問の本質を探して,その問題を解決するためにより効率的なアプローチを提案してくることが多かったように思う.質問した内容にそのまま答えるよりも良い返答だと感じた.本質を探す真似をしてみようと思ったが,上手く行かなかった.まだまだ未熟.
当然社員の方々はバリバリの実装マンで実力主義な雰囲気を感じた.

やったこと

これを繰り返す感じ.途中で寿司を食べながら自分の好きなことについて話すイベントもあった.スクラム開発は最近サイボウズでやり始めた,短期的に進捗を確認しながら仕様などを見直していく開発工程のこと.語源はラグビー
一週間に一回kintone開発チーム全体に進捗を発表する時間を設けてもらって,そこで何をやっているかを発表していく.本職の人にコメントをもらえるので,非常に励みになった.

出来事

サイボウズでの日々をもう少し詳しく書いておく.

1週目

  • 環境の準備
  • kintoneをローカルで立ち上げる
  • kintoneを触りながら,改善できそうな部分を探す
  • テーマ決め
  • スクラム開発の基礎を勉強

5日間のインターンだと社員さんが用意している課題を勧められることが多いらしいが,時間があるとのことでじっくり考えることができた.
スクラムでやることについては,スクラムマスターという資格を持った社員さんが自発的に教えてくれた.有り難い.
覚えることが多かったり,慣れない職場で帰るとすぐ寝ていた.

2週目

  • PBL/SBLの作成
  • 実装・コードレビュー・リファクタリング 社員さんに自分の書いたコードがゴリゴリ綺麗な構文になっていくのは気持ちが良かった.コードの行数が少ないって素晴らしいって改めて思う.

まだ一週間あるため,実装に集中できる一番平和な期間だった.周りを見渡す余裕が出てきて,会社の日常を味わえるようになってくる.長めのインターンの醍醐味はここだと思う.

3週目

  • 実装
  • ローカル環境が壊れる
  • Gitをrebaseしようとして,山ほどの衝突が起きてつらい
  • テスト用に作成したデータが検証の途中で初期化される
  • 資料の作成が終わらない

先週のペースなら余裕と思っていたら,インターン終了前日にローカルkintoneクラッシュから始まる悪夢の行進.最終成果発表1時間前に必死に資料を作っていた.
大切な発表は,2日前までに資料を作成し,前日は発表練習に充てましょう.
最後は送別会まで開いてもらった.

小話

  • インターン生はランチ代の補助が出る日がある.ランチパスポートがあると安く抑えられそう
  • 資料作成用にMacを貸してもらっていたが,"kintone"といれると,ことえりの自動変換で"intone" or “kenton"になる

    • この変換をバイパスするには"KIntone" or “kinTone"がおすすめ(そもそも変換をGoogleのやつに切り替えれば解決する)
  • スタンディングデスクが来た! f:id:poppycompass:20170310015838j:plain

    • 画像はインターン期間中に来たスタンディングデスク.立ったまま使うための机.椅子を持ってきて,わざわざ椅子に座ってスタンディングデスクを使う猛者もいた.スタンディングデスクで立ったままプログラムを組んでみたが,足に力を入れながらタイプする経験があまりなかったから新鮮だった.レベルの高い立ち読みという印象.マウスを落とすと高さ2倍で威力も大きいというkintoneへの投稿もあった.
  • サイボウズ内では「マッスル部」という部活があるほど筋トレや運動に対して積極的だった.ずっと座っているから体の衰えが気になってくる(切実).就業中に流れてくるつぶやきもマッスル部が多かった印象がある.内容はどのプロテインが美味しかったとか,自分の筋トレメニューを解説していたりしていた.コード調査に疲れたときに元気をもらっていた.

筋トレ用具を常備している人もいる. f:id:poppycompass:20170310020149j:plain

  • カフェ部というものもあり,屋上駐車場よりも高い眺めを一望できるラウンジで弁当と一緒にコーヒーや紅茶を嗜む.
    • バレンタインや最終日に開いていただいて美味しいコーヒー・紅茶を味わった

恩恵

  • サイボウズでエンジニアの生活を実感できる(働きやすい!)
  • 一週間以上行くことで,会社の普段の雰囲気をつかめてくる
  • 大規模プログラムを触ることができる
  • 報酬あり(1万/日)

興味が出た人へ

言語はJava, Javascript, CSS, HTML, SQLといったWebの基礎知識があったほうが良い.無いならないでその場で聞くなり,触って感じればいい.

インターンの面接は実力をよく見られた印象がある.今までに何を作ってきたのかを説明したり見せることができると良さそう.
でも,興味があるのなら実力がついてから応募しようなんて難しいことを考えずにとりあえず応募してみると良いと思う.その後はなるようになる.

インターンシップ | サイボウズ 採用情報(新卒・キャリア)

最後に

働くと起きている時間の殆どを仕事に使うことになる.仕事を好きになれないと辛いことになりそうだから,興味を持って働ける場所に行きたいと思う.
インターンでは,研究室にこもっているだけでは到底出会えない経験をさせてもらった.言葉では言い表せない感謝を忘れないようにしたい.

サイボウズ

  • エンジニアが過ごしやすい雰囲気
  • 在宅勤務などの新しい働き方を積極的に取り入れている
  • 社員さんのレベルが高くて尊敬できる!
  • 筋肉に興味があるならマッスル部

な会社です.

最後にサイボウズで関わってくださった皆様,3週間ありがとうございました!

findしてlessする動作を自動化するシェル関数

基本的にfindコマンドで探したファイルはlessなどで閲覧することが多い.大きなプログラムだと,ディレクトリごとに名前が同じファイルがあったりするから,findして目grepしてパスをコピーしてlessするって動作を繰り返しているとうんざりしてくる.そこで自動化するシェル関数を作成した..zshrcに追記すれば使える.
やりたいことはless $(find -name "hoge").複数ヒットしたときもカバーしたいと思うと複雑になってくる.

code

zsh上では動作が確認できている.bashは知らない.

# findで見つけたファイルを表示し,lessする
function fl() {
  if [[ $# -gt 0 ]]; then
    list=`find -type f -name $1 2>/dev/null`
    if [[ $list = "" ]]; then
      line="0"
    else
      line=`echo $list | wc -l`
    fi
    case "$line" in
      "0") echo "No file" ;;
      "1") less $list ;;
      *)   echo -en $list | nl
           arr=(`echo $list | tr -s '\n', ' '`)
           echo -en "file: "
           read num
           less $arr[$num] 2>/dev/null ;;
    esac
  else
    echo "fn \"<file_name>\""
  fi
}

使用例

$ fl "*zshrc"
1  ./git/zsh/StartupFiles/zshrc
2  ./dotfiles/.zshrc
flie: 2 <Enter>

検索する対象はカレントディレクトリ以下.ダブルクウォートで囲めばワイルドカードでの検索もできる.候補が一つしか無いときはそれをlessする.
とりあえずこれを使って,不便なら繰り返し処理を加えるなりしてみようかな.
そもそもIntelIJみたいなIDE使えという話もあるが,手軽に探す分にはこれで十分だろう.コードが冗長な気がするから,気が向いたら書き直す.

参考

bash でカンマ区切り文字を split して変数に代入

既出の値を判定するコードについて思いついたこと(ビンゴゲームをネタに考える)

重複を許さないランダムな数値を一定数生成したいという機会は割りと遭遇する.このときの既出判定についてふと思いついたことを書き残す.
「そんなの一般的に使われている」というツッコミは置いておく.実装についての答えを示すものではなく,「簡単な用途であればこんな実装のほうが綺麗だな」って話.

きっかけ

去年開催された忘年会において,ビンゴゲームが開催された.その際に「白紙を渡すから,1-16の数字の中から,9個選んで3x3に適当に書け」ということになった.
自分で選ぶのも一興だが,時間がないときにはプログラムに任せて一瞬で作成してしまいたい.乱数を生成する事自体はAPIを使えば非常に簡単に生成できる.しかし,既出判定の部分が面倒臭いから簡単にできないものかと考えた.

以降のコードの目的は,ビンゴと同じ1-16の数値を被らないように9個選ぶこととする.変数や分岐などはC言語で考えている.

最初に思いつくやつ

出てきた数字を配列に格納し,生成した数字が出ているかを確認する.実装としては以下のような感じか.

  int buf[9] = {0};            
  int i, j, t, c=0;            
                               
  srand(time(NULL));                  
  for (i=0; i<9; i++) {               
    while (1) {                            // 生成    
      t = rand() % 16 + 1;            
      for (j = 0; j < 9; j++) {            // 既出チェック     
        if (buf[j] == t) c = 1;       
      }         
      if (c == 1) { c = 0; continue; }     // c=1なら,既出でもう一回
      break;                          
    }                        
    c = 0;                            
    buf[i] = t;
    // 出力処理
  }

というように,どうにも入り組んだものになりがちである.他の処理があったりすると,読みたくないコードになってくる.既出判定のオーダーは,配列長nの半分程度だから,O(n/2)かな?
このコードだと取り扱う数字・個数が大きくなっても使えるが,毎回線形探索するのはオーバヘッドばかりかかる.かといって配列を毎回ソートし,二分探索みたいなことするのも複雑だ.ビンゴ生成にそこまでやるかという問いはさておき.

楽そうなコード(フラグ管理してみる, 配列)

フラグ管理してしまえば簡単だなと思った.乱数を添字にして,フラグ配列に1が入っていれば既出,0なら未出扱い.

  int flag[16] = {0};              // フラグ管理

  for (i=0; i<9; i++) {
    tmp = rand() % 16 + 1;        // 1-16の値をランダム生成
    if (flag[i-1] == 1) continue; // 既出だから,もう一回
    flag[i-1] = 1;
    // 出力処理
  }

大分スッキリした.既出判定は一回しか参照しないから,オーダーはO(1)のはず.問題は,取り扱う数値・個数が多くなったときに使用するメモリ量が大きくなりがちなこと.
もうちょい改良してみる.

楽そうなコード(フラグ管理してみる, 省メモリ)

フラグは0/1しかないのに,何もわざわざintの配列を確保する必要はない.変数一個だけでも行けるなと気づいた.ブール変数の配列とどっちがいいんだろうか.

  unsigned int flag = 0;   // 64ビットOSだと,変数の大きさは64ビット
  int i, t;
 
  srand(time(NULL));                                                                                                    
  for (i=0; i<9; i++) {                                                                                                     
    while (1) {                                                                                                             
      t = rand() % 16 + 1;                                                                                                  
      if ( (flag & (1 << (t-1) )) == 0 ) break;  // t-1ビット目に1が立っていれば既出扱い,0なら未出                                                                       
    }                                                                                                                     
    flag |= (1 << (t-1));
    // 出力処理
  }

初見だと少し読みにくい印象.
これもオーダ的にはO(1)か.64個までしか数字を取り扱わないのなら,これでも十分にできる.しかし,64以上の整数や個数を取扱いにくいのが難点. 多倍長的なものを実装するのが良いが,これは実装コストが一気に上がる(といっても配列のどの要素を見るかの処理を加えるくらいだが).GMPを使えば楽にできそうだが,GMP使うと速度が下がりがちだから,要注意か.

完成版ビンゴジェネレータ

現実で使う機会が無さそうだから,ここでソースを挙げておく.

/* bingo.c */
#include <stdio.h>                                                                                                          
#include <stdlib.h>                                                                                                         
#include <time.h>                                                                                                           
                                                                                                                          
int main(void)                                                                                          
{                                                                                                                
  unsigned int flag = 0;                                                                                                
  int i, t=0;                                                                                                               
                                                                                                                            
  printf("=== Bingo Card Generator ===\n"                                                                                 
         "================\n|");
  srand(time(NULL));                                                                                                    
  for (i=0; i<9; i++) {                                                                                                     
    while (1) {                                                                                                             
      t = rand() % 16 + 1;                                                                                                  
      if ( (flag & (1 << (t-1) )) == 0 ) break;                                                                             
    }                                                                                                                     
    flag |= (1 << (t-1));                                                                               
                                                                                                                 
    if ( ((i % 3) == 0) && (i != 0) ) printf("\n|");                                                                    
    if (t >= 10) printf(" %d |", t);                                                                                        
    else         printf("  %d |", t);                                                                                       
  }                                                                                                                       
  printf("\n================\n");
  printf("Good Luck!\n");                                                                                                   
  return 0;                                                                                                                 
}                                                                                                                         
/* E.O.F. */
$ gcc bingo.c -o bingo
$ ./bingo
=== Bingo Card Generator ===                                                                                                
================                                                                                                            
|  2 | 16 |  8 |                                                                                                            
|  1 | 15 | 14 |                                                                                                            
| 13 |  5 |  4 |                                                                                                            
================                                                                                                          
Good Luck!

おわり

そこまで大きな数字・個数を取り扱わないものであれば,既出判定はフラグ管理するのがスッキリしててわかりやすそう.

Linuxで突然startxが起動しなくなったときの対処

startxが上手くいかないときの対処はググると色々出てくるが,ややこしいやつばかり出てきた.そして,それを試しても成功しなかった.最終的に上手くいったことを書き残す.

症状

それまで普通に使えたUbuntuを再起動した途端にGUIで起動しなくなった.$ startxしてみると,
waiting for X server to shut down error setting MTRR (base = 0xd0000000, size = 0x04000000, type = 1) Invalid argument(22)
とでて,終了してしまう.
$ sudo Xorg -configure
してみると,セグフォが起こっていると言われた.

対処

いくつか試してみたが,結局
$ cp /etc/X11/xinit/xinitrc ~/.xinitrc
した後に$ startxしたら動いた.
下手にビデオカードやら何やら入れていないなら,.xinitrcはいじらないほうが良いようだ.

使えれば良いやradare2(静的解析編)

バイナリ関連の機能を一通り提供するフレームワークradare2,通称r2(d2はない模様)による静的解析をざっくりと紹介する.CLIベースの使い方はいろんなサイトが詳しくやっているから,Visual Modeの使い方を中心に解説する.

radare2について

radare2について軽く説明する.
radare2は64ビットオフセット対応の16進バイナリエディタとして,2006年から開発が始まった.途中でportable reversing frameworkになり,更に,いつの間にかradareからradare2へとバージョンアップしている.経緯は知らない.バイナリエディタとして使われているところを見たこともやったこともない・・・.
x86からxtensaなどのマニアックなアーキテクチャまで対応し,基数変換ツール(rax2)やアセンブラ(rasm2),バイナリ比較プログラム(radiff2)など細かい所まで提供してくれる,とても素晴らしいプラットフォーム!
といえば聞こえは良いが,現実には挙動にビックリな地雷を抱えているところがあり,全面的に信用して使うと痛い目にあうというのが正直なところ(個人的な感想).
今までに出会った例としては,デバッグ中のプログラムがセグフォを起こすと,出力が無限ループ起こした.他には,巨大なプログラムを解析しようとすると,関数フラグなどの収集が終わらない.この状態だとCtrl+cしても終了できない.Ctrl+zで停止させて,改めてkillする必要があった.まだ他にもある.

インストール

radare2をインストールしていない場合は,ubuntuならapt/apt-get install radare2,arch linuxならpacman -S radare2で簡単に見つかるはず.ただし,ubuntuのパッケージはバージョンが古いことがあり,機能の一部が実装されていない可能性もある.不安な人は自前ビルドするとよい.自前ビルドは

$ git clone https://github.com/radare/radare2
$ cd radare2 && sys/install.sh
$ sys/install.sh
rootでインストールしたくない人はホームディレクトリにインストールする方法もある.
$ sys/user.sh

で行う.

環境

$ uname -a
Linux poppycompass 4.7.6-1-ARCH #1 SMP PREEMPT Fri Sep 30 19:28:42 CEST 2016 x86_64 GNU/Linux
$ r2 -v
radare2 0.10.2-git 10613 @ linux-little-x86-64 git.0.10.1-156-gcb11996
commit: cb119968dd590fbb0719243eadd7344c7293b996 build: 2016-03-16

現行のバージョンは0.10.6(2016/10/26現在)だから,少し古いバージョンでの解説となる.
カーネルバージョンから,先日発表されたDirty COW(CVE-2016-5195)の餌食になりそうな雰囲気.この後無茶苦茶更新した.

解析対象

解析対象はカラフルな出力を行うプログラム.

/* color.c */
#include <stdio.h>

void red(void)
{
  printf("\x1b[31m");
  puts("red");
}
void blue(void)
{
  printf("\x1b[34m");
  puts("blue");
}
void green(void)
{
  printf("\x1b[32m");
  puts("green");
}
int main(void)
{
  int i=1;
  if (i) {
    red();
    blue();
    green();
  } else {
    return 1;
  }
  return 0;
}
/* E.O.F. */

変なif文が入っているのは,コードに分岐を作りたかったから.
コンパイルは,
$ gcc -o color color.c -Wall

解析

いよいよr2を起動する.r2の操作性を一言で表現するなら,vim + gdb.この辺りは素晴らしい.コマンド体系は独自すぎて少しわかりにくい.

$ r2 ./color
[0x00400450]>

といった感じのシェルが起動する.?でヘルプが見られる.
checksecのような情報が欲しいときは,

[0x00400450]> iI
pic      false
canary   false
nx       true
crypto   false
va       true
intrp    /lib64/ld-linux-x86-64.so.2
bintype  elf
class    ELF64
lang     c
arch     x86
bits     64
machine  AMD x86-64 architecture
os       linux
minopsz  1
maxopsz  16
pcalign  0
subsys   linux
endian   little
stripped false
static   false
linenum  true
lsyms    true
relocs   true
rpath    NONE
binsz    6605

今回はa(nalyze)コマンドで関数部のフラグを特定し,Visual Mode上で解析していく.最低限の解析のみならaa,プログラム中の文字列などを扱いたいなら,aaaコマンドを使う.ただし,stripされているプログラムだとaaaでは非常に時間がかかる.適宜使い分けるとよい.

[0x00400450]> aaa
[x] Analyze all flags starting with sym. and entry0 (aa)
[x] Analyze len bytes of instructions for references (aar)
[x] Analyze function calls (aac)
[*] Use -AA or aaaa to perform additional experimental analysis.
[x] Construct a function name for all fcn.* (.afna @@ fcn.*)
fcns: 16
xref: 39
sect: 514
code: 590
covr: 114 %

[0x00400450]> afl # 解析した関数一覧を表示
0x00400000  60  2  sym.imp.__libc_start_main
0x00400400  23  3  sym._init
0x00400430  16  2  sym.imp.puts
0x00400440  16  2  sym.imp.printf
0x00400450  43  1  entry0
0x00400480  50  4  sym.deregister_tm_clones
0x004004c0  58  4  sym.register_tm_clones
0x00400500  28  3  sym.__do_global_dtors_aux
0x00400520  38  4  sym.frame_dummy
0x00400546  32  1  sym.red
0x00400566  32  1  sym.blue
0x00400586  32  1  sym.green
0x004005a6  50  4  sym.main
0x004005e0  101  4  sym.__libc_csu_init
0x00400650  2  1  sym.__libc_csu_fini
0x00400654  9  1  sym._fini

main関数から解析していく.

[0x00400450]> s sym.main # アドレス移動
[0x004005a6]> VV         # Visual Mode起動
[0x004005a6]> VV @ sym.main (nodes 4 edges 4 zoom 100%) BB-NORM mouse:canvas-y movements-speed:5                                 

                                              =-----------------------------------=
                                              | [0x4005a6]                        |
                                              |   ;-- main:                       |
                                              | (fcn) sym.main 50                 |
                                              | ; var int local_0h     @ rbp-0x0  |
                                              | ; var int local_4h     @ rbp-0x4  |
                                              | push rbp                          |
                                              | mov rbp, rsp                      |
                                              | sub rsp, 0x10                     |
                                              | mov dword [rbp - local_4h], 1     |
                                              | cmp dword [rbp - local_4h], 0     |
                                              | je 0x4005d1 ;[a]                  |
                                              =-----------------------------------=
                                                    t f
                                                .---' '-------------------.
                                                |                         |
                                                |                         |
                                          =----------------=      =----------------------=
                                          |  0x4005d1      |      |  0x4005bb            |
                                          | mov eax, 1     |      | call sym.red ;[b]    |
                                          =----------------=      | call sym.blue ;[c]   |
                                              v                   | call sym.green ;[d]  |
                                              |                   | mov eax, 0           |
                                              |                   | jmp 0x4005d6 ;[e]    |
                                              '------------.      =----------------------=
                                                           |          v
                                                           .----------'
                                                           |
                                                           |
                                                       =----------------=
                                                       |  0x4005d6      |
                                                       | leave          |
                                                       | ret            |
                                                       =----------------=

                            

上記のような表示になったと思う.分岐を起点としたブロックに分割されて,表示される.実際にはt(true),f(false)の線は色がついていて,非常に有り難い.vimと同様hjklで移動する.スペースキーを押すと,16進ダンプに跳ぶ.もう一回スペースキーを押すと戻る.
':'を押すことでr2のコマンドを実行できる.sym.red関数をテキストとしてディスアセンブルする.

Press <enter> to return to Visual mode.
:> pdf@sym.main # pdf: 関数のディスアセンブル,'@'以降は引数に関数名やアドレスを与える
/ (fcn) sym.red 32
|           ; CALL XREF from 0x004005bb (sym.red)
|           0x00400546      55             push rbp
|           0x00400547      4889e5         mov rbp, rsp
|           0x0040054a      bf64064000     mov edi, str._e_31m         ; str._e_31m
|           0x0040054f      b800000000     mov eax, 0
|           0x00400554      e8e7feffff     call sym.imp.printf
|           0x00400559      bf6a064000     mov edi, 0x40066a
|           0x0040055e      e8cdfeffff     call sym.imp.puts
|           0x00400563      90             nop
|           0x00400564      5d             pop rbp
\           0x00400565      c3             ret

Visual Modeのままsym.redに移動したいときは

Press <enter> to return to Visual mode.
:> s sym.red<Enter><Enter>
[0x004005a6]> VV @ sym.red (nodes 1 edges 0 zoom 100%) BB-NORM mouse:canvas-y movements-speed:5                                  
                                                  =---------------------------=
                                                  | [0x400546]                |
                                                  | (fcn) sym.red 32          |
                                                  | push rbp                  |
                                                  | mov rbp, rsp              |
                                                  | mov edi, str._e_31m       |
                                                  | mov eax, 0                |
                                                  | call sym.imp.printf ;[a]  |
                                                  | mov edi, 0x40066a         |
                                                  | call sym.imp.puts ;[b]    |
                                                  | nop                       |
                                                  | pop rbp                   |
                                                  | ret                       |
                                                  =---------------------------=

uでmain関数に戻る.

終了

qを2回押して,元のプロンプトに戻り,Ctrl+dexitで終了.

最後に

radare2のVisual Modeでの解析を中心とした使い方をざっくり説明した.機能としてはもっと膨大であるが,そのへんの解説はbookやヘルプに譲りたい.objdumpよりも直感的なコードを提供してくれるため,静的解析には非常に心強い.
今年の9月に世界初のradare2カンファレンスr2con-2016が開催されたらしい.来年は是非行って,radare2は「ラダレツゥー」と読んでいいのか確かめたい.しかし,金と言語の壁が厚い.

参考

radare2レポジトリ: GitHub - radare/radare2: unix-like reverse engineering framework and commandline tools

端末出力の色変更方法: C言語でターミナルで表示される文字をカラー表示させる : Serendip - Webデザイン・プログラミング

radare2 book: http://www.radare.org/get/radare.pdf

Dirty COW: Dirty COW (CVE-2016-5195)

csawctf 2016 writeup(forensics)

書くことがないから,最近参加したCSAWCTF 2016のWriteupをメモしておく.分野はforensics.ExploitやWebに比べると日本では人気がない印象があるのが残念.

evidence

evidence.zipという壊れたZIPファイルが与えられる.

$ unzip -l evidence.zip
Archive:  evidence.zip
  Length      Date    Time    Name
---------  ---------- -----   ----
1384576462406025012  1980-10-01 06:01   out/rxo802ayx4
1384576462406025012  1980-10-01 06:01   out/zhatnf5maf
1384576462406025012  1980-10-01 06:01   out/50lshu1ue6
1384576462406025012  1980-10-01 06:01   out/14o803swdq
1384576462406025012  1980-10-01 06:01   out/nppjdd2wdg
1384576462406025012  1980-10-01 06:01   out/e9ydsxwetg
1384576462406025012  1980-10-01 06:01   out/0eetjrxpdm
1384576462406025012  1980-10-01 06:01   out/otuj3jrezt
1384576462406025012  1980-10-01 06:01   out/m70ohrycax
1384576462406025012  1980-10-01 06:01   out/mpi3z4x5jt
1384576462406025012  1980-10-01 06:01   out/meoflsxv4v
1384576462406025012  1980-10-01 06:01   out/8y10tp04b2
1384576462406025012  1980-10-01 06:01   out/eui6ltoijl
---------                     -------
17999494011278325156                     13 files
以下,どうでも良い情報
1384576462406025012  -> 0x133700f4ee13ff34
17999494011278325156 -> 0xf9cb0c701703f5a4
全く意味のない数字のようだ.

作成日時も特に情報は見当たらない.
とりあえず
$ zip -FF evidence.zip --output fix.zip
で修復してみる.先に言っておく,これやった人はさようなら.
この後,
- unzip
- ファイル名がハッシュになっているかと検索
- base64で復号
- とりあえず,文字列を反対にしてみる
- 適当にXORしてみる
- コメントを期待して,unzip -z
- ..etc
をやってみたが,どうにも出てこない. 疲れて,基本に戻ってみようとZIP情報の詳細を見てみる.

$ unzip -vv ./evidence.zip
Archive:  ./evidence.zip
 Length   Method    Size  Cmpr    Date    Time   CRC-32   Name
--------  ------  ------- ---- ---------- ----- --------  ----
1384576462406025012  Unk:169     908 100% 1980-10-01 06:01 666c6167  out/rxo802ayx4
1384576462406025012  Unk:047     294 100% 1980-10-01 06:01 7b746833  out/zhatnf5maf
1384576462406025012  Unk:158     377 100% 1980-10-01 06:01 5f766931  out/50lshu1ue6
1384576462406025012  Unk:231     552 100% 1980-10-01 06:01 3169346e  out/14o803swdq
1384576462406025012  Unk:223     249 100% 1980-10-01 06:01 5f77335f  out/nppjdd2wdg
1384576462406025012  Unk:238     503 100% 1980-10-01 06:01 6e333364  out/e9ydsxwetg
1384576462406025012  Unk:045     150 100% 1980-10-01 06:01 5f236672  out/0eetjrxpdm
1384576462406025012  Unk:200     273 100% 1980-10-01 06:01 65656c65  out/otuj3jrezt
1384576462406025012  Unk:099     684 100% 1980-10-01 06:01 6666656e  out/m70ohrycax
1384576462406025012  Unk:205     112 100% 1980-10-01 06:01 7daaaaaa  out/mpi3z4x5jt
1384576462406025012  Unk:174     287 100% 1980-10-01 06:01 aaaaaaaa  out/meoflsxv4v
1384576462406025012  Unk:193     172 100% 1980-10-01 06:01 aaaaaaaa  out/8y10tp04b2
1384576462406025012  Unk:199     485 100% 1980-10-01 06:01 aaaaaaaa  out/eui6ltoijl
--------          -------  ---                            -------
17999494011278325156             5046 100%                            13 files

ああ,なるほどと気づいたときには笑った.こんなやり方もあるのか.CRCがASCIIだ. 666c61677b7468335f7669313169346e5f77335f6e3333645f23667265656c656666656e7d
-> flag{th3_vi11i4n_w3_n33d#freeleffen}
flag: flag{th3_vi11i4n_w3_n33d
#freeleffen}
復元して頑張っても無駄だという問題.よくCRCにねじこんだな・・・.

watchword

Canned epic hidden snek flavored cookies have shy gorilla.  
Hint: http://domnit.org/stepic/doc/
Hint: It's not base64, but it uses the Python 3 base64 module
password = password

問題文は知らない単語が多くて理解を投げた.ゴリラが何かしたらしい.
ヒントに沿って,http://domnit.org/stepic/doc/から,stepic-0.3.tar.gzをダウンロード.

$ tar xvf ./stepic-0.3.tar.gz
$ cd stepic-0.3
$ sudo ./setup.py install
動作するためにImageが必要だったため,
$ sudo pip install Image
Image関連でエラーを吐くため,
$ sudo vim /usr/bin/stepic
[-] import Image
[+] from PIL import Image

これで準備は完了.
動画ファイルをダンプしてみると,<data...>というbase64があった.
"aHR0cDovL3N0ZWdoaWRlLnNvdXJjZWZvcmdlLm5ldC8="
-> http://steghide.sourceforge.net/base64
どうやら,steghideが一枚噛んでいるようだ.
配られた動画ファイルを問答無用でforemost.動画は結局見なかった.
$ foremost powpow.mp4
PNGファイルが出てきた.
f:id:poppycompass:20160927151138p:plain
8月にひっそりと日本での販売が終了したオレオの写真.foremostしても何も出てこない.
また,PNGにはsteghideが使えない.よって,stepicの出番.
$ stepic -d -i output/png/00001069.png -o out.jpg --debug
out.jpgというJPG画像を取得する.画像は親子の微笑ましい会話.
f:id:poppycompass:20160927135920j:plain
以下,文章の訳.間違っていたら指摘してください.

> ねえ,お母さん.どうしていとこの名前はダイヤモンドなの?
< おばさんが好きだからよ
> 僕の名前は?
< 私が好きなゴリラよ,Harambe

Harambeは先日子供を助けるために仕方なく射殺されたゴリラの名前.
Harambeはまだ良いが,おばさん,いくら好きでもダイヤモンドはキラキラしすぎじゃないかな・・・
< 閑話休題 >
JPGファイルはsteghideでいける.パスワードが要求されるが,これは問題文で与えられたものを使う.

$ steghide extract -sf ./out.jpg
Enter passphrase:password
wrote extracted data to "base64.txt"
$ cat ./base64.txt
W^7?+dsk&3VRB_4W^-?2X=QYIEFgDfAYpQ4AZBT9VQg%9AZBu9Wh@|fWgua4Wgup0ZeeU}c_3kTVQXa}eE

base64.txtが得られる.文字列の途中に=が入っていたりと,問題通り普通のbase64ではないようだ.
ヒントにpython3のbase64のモジュールを使っているとあったため,
http://docs.python.jp/3/library/base64.html#module-base64
を参考に一通り試していった.結局,base85でエンコードされた文字列だった.

# decrypt.py, python3で実行推奨
# coding: utf-8

import base64
print(base64.b85decode("W^7?+dsk&3VRB_4W^-?2X=QYIEFgDfAYpQ4AZBT9VQg%9AZBu9Wh@|fWgua4Wgup0ZeeU}c_3kTVQXa}eE"))
$ python3 decrypt.py
b'flag{We are fsociety, we are finally free, we are finally awake!}'

base85はASCII内でprintableな文字を全部使って限界に挑戦した符号化のようだ.データ量の膨張が6/4(1.5倍)のbase64に対し,base85は5/4(1.25倍)と,効率が良い.現在ではgitで使われているらしい.

最後に

forensicsはPwnやWebのようにきらびやかなハッカー・クラッカーっぽいものを感じにくい分野だが,解析のためにコマンドの細かいオプションを知ることができるといった面がある.
セキュリティをやっている理由が,色んなことを知りたいからという自分にとってはやってて楽しい分野.
もう少しくらいなら闇が深くても構わない.
ふと思ったが,IT業界って光という単語をあまり使わない気がする.闇の言語(C++とか)は存在するが,光の言語は聞いたことがない(Haskellとか純粋なものがある).その内出るかもしれないが,キャッチコピーが胡散臭すぎて使う気が起きなさそうだ.
そう思ってしまう辺り,IT業界に毒されているのだろう.

参考文献

Stepic - Python image steganography

19.6. base64 — Base16, Base32, Base64, Base85 データの符号化 — Python 3.5.2 ドキュメント

base85について - StoryEdit 開発日誌