闭门技术会议 0x41con 上周在法国(马赛克地点)举办。会议不允许拍照录像,按照惯例官方拍一张不露脸的合影。
本来想等另一个 frida 的议题材料出来了再一起发,好像拖得有点久,就先转这个。
https://jonpalmisc.com/assets/slides/0x41con-2024-TheBeheadingOfMadameDeMaintenon.PUBLIC.pdf
The beheading of Madame de Maintenon
@jonpalmisc
作者曾在 binary ninja 实习,对反编译技术比较感兴趣。标题的梗来源于 IDA Pro 的图标。曾经有一个广泛的误会,认为这个图标是程序设计先驱,女数学家 Ada。其实这个图标是路易十四的第二任妻子曼特农夫人(Françoise d’Aubigné, Marquise de Maintenon)。
需要注意的是,上快乐台的是路易十六,跟历史上的她倒是没有关系!标题指的 headless 是不带图形界面运行程序,如 headless Chrome。仅此而已。
有经验的人都知道 IDA Pro 在处理大文件自动分析在图形界面下有一些瓶颈,之前的版本需要关掉一些子窗口来减少不必要的刷新,用以提升速度。IDA Pro 自带了一个命令行界面(TUI),结合几行简单的 IDA Python 就可以在命令行生成 idb 数据库,比图形界面快。
这个议题则是逆向了 IDA 本身的架构,绕过 TUI 调用底层的反编译引擎,进一步压榨性能。根据作者的说法,这个版本比 IDA 自带的终端界面还要快 40%。
还有一个彩蛋。作者把 IDA 的后端桥接到了 radare2,演示一出来,引发全场哄笑。
这次 0x41con 另一个可以公开找到的议题是 You Shall not PASS Analysing a NSO iOS Spyware Sample,介绍对 BlastPass “零点击”漏洞样本的分析。之前的文章已经介绍过一次:OffensiveCon24:BLASTPASS 技术分析;从蹭会到连夜追极光
这次会议的版本有更新,增加了一些新的分析,包括潜在的沙箱逃逸 payload 和用户态过 PAC 的漏洞。
另一个关于 frida 的议题是在非越狱环境下如何分析 iOS 应用的,来自 NowSecure 的两位 frida 的活跃贡献者(不是大胡子 @oleavr)。等作者放出材料了,我再顺便讲一下那天怎么抓着他俩现场修了一个 bug 的事 🐶
这周末全世界都在讨论 CrowdStrike 史诗级蓝屏事故。不巧我上周五晚正好要坐飞机,延误了两小时,成为正版软件的受害者之一。一边不知道要干等多久,一边看着隔壁去伦敦的航班全部被取消,真是刺激。