關於我


簡介 Bio

馬聖豪(@aaaddress1)目前為 TXOne Networks 產品資安事件應變暨威脅研究團隊 資安威脅研究員,專研 Windows 逆向工程分析超過十年經驗,熱愛 x86、漏洞技巧、編譯器實務、與作業系統原理。 

此外,他目前為台灣資安社群 CHROOT 成員。並曾任 Black Hat USA、DEFCON、CODE BLUE、 HITB、VXCON、HITCON、ROOTCON、CYBERSEC 等各個國內外年會講者與授課培訓,並著有熱銷資安書籍《Windows APT Warfare:惡意程式前線作戰指南》

Sheng-Hao Ma (@aaaddress1) is currently working as a senior threat researcher at TXOne Networks, specializing in Windows reverse engineering analysis for over 10 years. In addition, he is currently a member of CHROOT, an information security community in Taiwan. 

He has also served as a speaker and instructor for various international conferences and organizations such as Black Hat USA, DEFCON, CODE BLUE, HITB, VXCON, HITCON, ROOTCON, Ministry of National Defense, and Ministry of Education. He is also the author of the popular security book "Windows APT Warfare: The Definitive Guide for Malware Researchers".

聯繫方式 Contact 

著作 Publishcation 

經歷 Outlines

  1. CHROOT 資安社群成員
  2. TXOne Networks, inc. 資安威脅研究員
  3. 工業技術研究院、資訊工業策進會、奧義智慧科技 實習生
  4. CODE BLUE 2022: ブルーチームの新潮流 - 実用的なシンボリックエンジンによる巧妙なマルウェア・ランサムウェアの検知
  5. BlackHat USA 2022: A New Trend for the Blue Team - Using a Practical Symbolic Engine to Detect Evasive Forms of Malware/Ransomware
  6. DEFCON 26: Playing Malware Injection with Exploit thoughts
  7. HITB (Hack In The Box) 2021 AMS: Rebuild The Heaven's Gate: from 32 bit Hell back to Heaven Wonderland
  8. COSCUP 2022: 跨國投稿從入門到精通:那些投稿大師必備的小技巧
  9. iThome CYBERSEC 2022: 現代攻擊者免殺心法:以時間鉗形戰術打穿即時防護
  10. iThome CYBERSEC 2022: 文件格式混用在野技巧:從防守盲點到惡意利用
  11. iThome CYBERSEC 2022: 從反組譯建立次世代語意感知特徵碼引擎
  12. iThome CYBERSEC 2022: 我識破你的識破:LSALSASSUSELESS
  13. iThome CYBERSEC 2021: 重建天堂之門:從 32bit 地獄一路打回天堂聖地
  14. iThome CYBERSEC 2020: 唉唷,你的簽章根本沒在驗啦。
  15. ROOTCON 2021: Skrull Like A King: From File Unlink to Persistence
  16. HITCON 2022: 藍隊新曙光 - 以語意感知之的啟發式符號引擎挫敗在野勒索軟體
  17. HITCON CMT 2021: Skrull Like A King: 從重兵看守的天眼防線殺出重圍
  18. HITCON CMT 2020: Reversing In Wonderland: Neural Network Based Malware Detection Techniques
  19. HITCON CMT 2019: Duplicate Paths Attack: Get Elevated Privilege from Forged Identities
  20. IEEE S&P (Co-located with Oakland) 2019: Demo: An Emulator-based Active Protection System against IoT Malware
  21. Black Hat Asia Arsenal 2018: PUZZCODE, MAKE BACKDOORS GREAT AGAIN!
  22. VXCON 2018 Speaker: Implementing Software Packer
  23. 果核數位 2022: 在野軍火提權戰略:攻破 Windows 11 再次奪下主控權
  24. SITCON 2020: Playing Win32 Like a K!NG ;)
  25. HITCON CMT 2015 Speaker: Android AIDS:Automatic Intelligence De-advertisement Scheme In CSharproid
  26. HITCON CMT 2015 Speaker: 欺騙IDA Pro Hex Rays插件!讓逆向分析者看見完全不同的結果 IDA Pro Hex-Rays Decompiler Cheat
  27. HITCON CMT 2016 Lightning Talk: PokemonGo Hacking without Jailbreak
  28. HITCON CMT 2017 Speaker: Windows Injection 101: from Zero to ROP
  29. HITCON CMT 2018 Speaker: Malware Sandbox Emulation in Python
  30. HoneyCon 2018: 加密與保護:揭秘程式保護殼如何防止駭客破解你的產品
  31. SITCON 2016 Speaker: 防毒擋不住?勒索病毒猖獗與實作
  32. SITCON 2017 Speaker: 開發學校雲端服務的奇技淫巧
  33. iThome#Chatbot Day 2017 Speaker: 孫子廣播電台
  34. ICNC'17 IEEE Workshop 論文: Advertisement Removal of Android Applications by Reverse Engineering

教育訓練 Training

  1. HITCON Training 2021/2020/2019: Windows APT Warfare
  2. HITCON Training 2018: from Zero to Windows Shellcode Expert
  3. 資安卓越中心計畫(CCoE)頂尖資安人才培育專案 2021, 2022
  4. 教育部資訊安全人才培育計畫: Windows 惡意程式分析實務 
  5. 教育部資安實務攻防研習營 (PwnReversing)
  6. 教育部資訊安全基礎技術工作坊 (PwnReversing)

留言

張貼留言

這個網誌中的熱門文章

[Black Asia Arsenal] puzzCode: 專注開發後門的編譯器, 自帶反逆向、對抗病毒特徵碼定位技術

圖片
前言 安安,這篇沒有講任何工具本身細節XD 純粹是個人一些 murmur 的廢文 簡報 專案 github.com/aaaddress1/puzzCode 吃我 Source 看細節啦(?) #murmur 其實事情是這樣 der,去年底忙完一堆工作的事情後發現好像有點閒,然後就收到了這樣的一封信躺在我的 gmail 裡面。 畢竟個人覺得自己沒那個屁股能投稿上 BlackHat 或者 DEFCON 這種一線等級的大 Conf。 這封信指出可以投稿你自己的駭客工具到 Black Hat Asia,若被接受,你可以獲得一個攤位和大約 2hr 時間可以讓你 present 你工具特別之處,最棒的是你可以獲得價值六萬塊新台票的入場券!(就是門票啦,那張 Badge)除此之外會贈送大會背包這樣,對一個沒去過 Black Hat 的屁孩如我來說超吸引的啊XD 之前的研究一直都差不多打轉在防毒軟體怎麼設計安全防護上,然後花了一點時間接了 MinGW 編譯器(GCC 在 Windows 分支版本的編譯器)用 C# 寫了一個簡單的 UI,來做到自動化將 C/C++ 原始碼透過編譯器產生 Assembly Script(其實理想狀況用編譯器的 IR Code 會比較恰當,畢竟如果要跨 CPU 架構,你的混淆 Patten 很容易吃大便)然後自幹了簡單的 Assembly 指令混淆邏輯單元、最後再透過組譯器產生出 Object File 與連結器封裝為 *.exe 的 Windows 程式這樣XD 這樣的工具當初構想是:很多基於 YARA 或者其他自定義的惡意程式特徵碼設計概念都是連續組合語言片段檢測 + Hash Check 來確認一隻文件是否具有惡意(正確來說應該是:是否已經被建檔為惡意文件)所以如果能設計一個編譯器自動化做到同份原始碼、每次編譯出的執行程式都會被混淆邏輯單元打散程式碼順序與穿插混淆程式碼,那其實可以做到很強程度的對抗現在一線的防毒軟體(看看那隻有點紅的小傘) 運氣不錯的是:以往 Black Hat 收錄的工具沒有這類型的工具,原本只有備取、最後成功被收錄到 Black Hat Asia 的軍火庫(Arsenal)啦,可參見至: PUZZCODE, MAKE BACKDOORS GREAT AGAIN! 實際擺攤的時候,對你工具有興
閱讀完整內容

重建天堂之門:從 32 位元地獄一路打回天堂聖地(下)攻擊篇:x96 Shellcode、天堂聖杯 & 天堂注入器

圖片
 WOW64逆向工程 在前一篇部落格文  重建天堂之門:從 32 位元地獄一路打回天堂聖地(上)深度逆向工程 WOW64 設計  筆者已經以逆向工程角度完整解釋了微軟這套幫助 32-bit 在原生 64-bit Windows 執行之架構的設計 若讀者尚未有研究過天堂之門相關基礎、建議先回到上一篇文通讀後再回來本文閱讀。而接下來我們會把焦點圍繞在接續著如何將上一篇的背景知識組合出一些有趣的利用手法 :) x96 Shellcode 這是我覺得最有趣的一個玩法XD 通過逆向工程 WOW64 架構後,發現了通過 cs segment 區段暫存器值 23h 或 33h、得以確認當下 Intel 晶片正在將 program counter 上的程式碼以 32-bit 或 64-bit 指令集解析。 因此藉由此區段暫存器值,我們也能創建出一個 x96 shellcode、亦即同時可當作 32-bit 也可當作 64-bit 的 shellcode!設計概念相當簡單,便是在 shellcode 開頭處 設計一個彈頭 :判斷當前 cs segment 值若為 23h 則跳去 32-bit shellcode 執行、反之是 33h 則跳去 64-bit shellcode 接續著執行。 講得簡單,設計起來實務麻煩點其實是確保 x96 彈頭 payload 在 32/64-bit 下解析起來的邏輯是一致的,比方 shellcode 相對偏移定址問題、32/64-bit 的指令 alignment 不對稱,或者連 branch jump 指令 offset 在兩指令集上算法超過 2 bytes 也會有問題 等。 所以在上面 PoC 中可以看到,彈頭中所有的指令 opcode 都特別挑選過是在兩種架構上皆相同的、才可確保在兩指令集上邏輯按照預期執行,舉例: call $+5 同樣是 \xE8\x00\x00\x00\x00 其在 64-bit 下會以 8 bytes 長度推入 return address 上堆疊,而在 32-bit 下僅推入 4 bytes 長度上堆疊 \x81\x04\x24 其在 32-bit 下被視作 add ds: [esp], xxxx。而在 64-bit 下會被自動擴展為 add ds: [rsp], xxxx 而挑選使用 call $+5; ad
閱讀完整內容

[ASM][IDA][C++]爆破也能很優雅!純靜態爆破文件關鍵點+純靜態打Patch(IDA反組譯﹢打Patch)

圖片
在打Patch方面,Windows上分析 一直都有著優異分析能力的Ring3工具有三套 Cheat Engine、OllyICE、IDA 大家比較熟的可能是OllyICE可以直接分析PE Header、分析.text段 然後直接對Patch的資料保存回執行檔文件 或者不少人也知道Cheat Engine有提供一個噁爛等級的Lua腳本 讓你直接用ASM+Lua,不會主流程式語言也能輕鬆製作出補釘工具 有些人乾脆就自己寫一個KeyGen or Patch文件了. 不過今天要介紹的不是這些, 而是大多數人知道IDA可以分析程式靜態邏輯,輕鬆得知內容 而不知道其實IDA也有Patch文件的功能XD (知道的就別看這篇文啦~很雷很雷~~大牛請飄過) 是說本來這篇文想用純英文耍屌寫文章 後來想想...算惹 幹嘛這樣吃力不討好呢(尻杯XD)
閱讀完整內容