M/o/Vfuscator2, безумный компилятор / forpes.ru

Главная
M/o/Vfuscator2, безумный компилятор

M/o/Vfuscator2, безумный компилятор +39

21.05.2021 07:05

host_m 21 5100 Источник

Однажды один умный чувак (Кристофер Домас) читал статью другого умного чувака (Стивена Долана) про удивительную особенность архитектуры x86. Стивен ругал её за избыточность и утверждал, что набор инструкций можно сократить до одной лишь mov, потому что она Тюринг-полная. Если бы Стивен не был таким умным, в его словах можно было бы усомниться, но у Кристофера загорелись глаза: проработав двадцать лет с x86, он не слышал ни о чём подобном, и ему страшно захотелось написать компилятор, который бы переводил весь код в наборы одних лишь mov-инструкций. Так родились M/o/Vfuscator и M/o/Vfuscator2, наглядно иллюстрирующие ненормальное программирование.

Идея

Небольшое отступление про инструкцию mov: это самая простая инструкция в ассемблере, перемещающая значение из памяти в регистры или из регистров в память. Как может штука, перекладывающая байты из одного места в другое, оказаться Тьюринг-полной? Ну, если вам правда интересно, почитайте оригинальную статью Стивена с доказательством. Если не очень, перейдём сразу к выводу:

Удаление из будущих итераций архитектуры x86 всех инструкций, кроме mov, может обеспечить множество плюсов: формат инструкций будет значительно упрощен, дорогой блок декодирования станет намного дешевле в выполнении, а кремний, используемый в настоящее время для сложных функциональных блоков, можно было бы использовать для еще большего увеличения кэша. Как только кто-нибудь реализует компилятор.

Собственно, на последних словах Кристофер и загорается этой идеей и попутно соображает, что через подобную компиляцию можно нехило так обфусцировать код — сам чёрт ногу сломит в этих бесконечных mov'ax! Для сравнения, обычный, «читаемый» ассемблер:

и та же самая программа на мувах:

Представьте, какое немыслимое количество операций нужно совершить чтобы отреверсить такой код? Крис сам занимается реверс-инжинирингом, он понимает что это полное безумие — и поэтому кайфует ещё больше от своего проекта. В первую очередь, он выписывает основные принципы Стивена, на которых будет держаться компилятор:

mov может сравнивать значения

Допустим, вы хотите сравнить x и y, для этого вам понадобится следующий код:

  mov [x], 0
  mov [y], 1
  mov R, [x]

Если x == y, то в третьей строчке, где считывается значение по адресу x, окажется не ноль, а перезаписавшая его единица.

Если x != y, то считается ноль, так как единица лежит по другому адресу.

Код выполняется без ветвлений

Согласно идее Стивена, правильно написанный блок кода может либо что-то делать, либо не делать, в зависимости (только!) от исходного состояния системы. То есть ветвление отсутствует как класс, если абсолютно все инструкции исполняются последовательно.

Ограничения

Для выполнения требуется одна инструкция jmp start (в конце списка mov'ов) для перевода программы в начало; для остановки нужен заведомо нерабочий адрес памяти.

Дальше Крис добавляет свои требования:

Использовать примитивные операции машины Тьюринга как основу для высокоуровневой логики
Работать надо с реальными данными, не с абстрактными символами (эксперимент Стивена всё-таки академичен, далёк от реального мира)
Должны быть реализованы основные операции: условные ветвления, арифметика, логика, циклы и так далее

Подробно о реализации некоторых вещей можно послушать в его докладе по ссылке (таймкод 9:06), а мы сразу перепрыгнем к состоянию «оно реализовано и работает», чтобы не пересказывать оригинал.

Реализация

Первая версия компилятора была написана для брейнфака, для ощущения максимального абсурда и тщетности жизни реверсера, но, конечно, она осталась ужасно далека от реальных примеров и задач. Поэтому Крис спустя пару лет ВНЕЗАПНО выпустил M/o/Vfuscator2, рабочий mov-компилятор для С. Впечатляющий апгрейд, не правда ли?

Заявлена относительно легкая адаптация компилятора под другие платформы и языки, но всё же создавался он именно для x86, и с ним связан ворох особенностей и ограничений:

Для дробных чисел используется самописный эмулятор плавающей точки, из-за размера поставляется в трёх версиях: softfloat32.o для float, softfloat64.o для float и double, и softfloatfull для полной поддержки стандарта IEEE
Так как арифметика строится на таблицах поиска, таблицы символов могут занимать огромное количество места, и их, возможно, придётся обрезать флагом -s
Компилятор работает строго на C89 из-за использования LCC в качестве фронтенда. Нельзя использовать bool, for (int ...), и другие фишки C99
Код с нестрогой типизацией или небезопасными конвертациями, скорее всего, не скомпилируется — тоже из-за LCC
Функция, использующая внешние библиотеки, без прототипа лишает компилятор информации о необходимости и моменте подключения этих библиотек, что почти гарантированно повесит приложение
Вызовы внешних функций (printf и т.д.) через указатели функций еще не реализованы
Для подключения библиотек, скомпилированных не на mov, могут потребоваться другие инструкции. Полностью избавиться от них можно, перекомпилировав в mov все ресурсы

Заключение

Несмотря на всю крутизну проекта и Кристофера, нужно понимать, что такая обфускация скорее игрушка, чем реальный рабочий инструмент. И всё же, учитывая возможность прикрутить другие фронтенды и архитектуры открывает для M/o/Vfuscator больше возможностей, чем мог бы получить другой безумный ассемблерный проект.

Информацию по установке и использованию можно найти на гитхабе.

На правах рекламы

Эпично! Недорогие серверы на базе новейших процессоров AMD EPYC для размещения проектов любой сложности, от корпоративных сетей и игровых проектов до лендингов и VPN.

Присоединяйтесь к нашему чату в Telegram.

Комментарии (21)

nerudo
21.05.2021 10:36
#23061468
mov al,byte ptr[eax+edx*N] это настолько прекрасно, что испытываешь чувство схожее с катарсисом.
1. JerleShannara
  21.05.2021 19:42
  #23064404
  Классика жанра в том, что когда такое видишь в дизассемблере первое, что приходит в голову — «опять данные дизассемблирую» или «промахнулся мимо начала инструкции»
1. VioletGiraffe
  22.05.2021 23:36
  #23065010
  А можно теперь пояснить для тех, кто не испытал катарсис, но тоже хочет? :) Я понимаю, что эта инструкция загружает в al один байт, лежащий по адресу, значение которого равно eax+edx*N (так ведь?), но ЧТО это значит?
  
  А вообще, это действительно интересно, я видел, что компиляторы применяют инструкцию lea вместо арифметики, когда нужно что-то умножить и сложить, но не знал, что один-единственный mov тоже умеет вычислять такую арифметику.
1. LynXzp
  26.05.2021 12:28
  #23075934
  Для тех кто не разбирается в ассемблере скажите, вот этот плюс и знак множества это же целые операторы, результат вычисляется на стадии компиляции?
  1. nerudo
    26.05.2021 12:39
    #23075996
    Да вы не парьтесь, в этом ассемблере уже почти никто не разбирается.
    PS Берется текущее содержимое 32-разрядных регистров EDX и EAX, над ними проводятся соответсвующие арифметические манипуляции. Получившийся результат используется как адрес памяти по которому нужно взять значение и положить в регистр AL. Но не все 32 бита, а только 8. Потому что AL — это младшие 8 разрядов регистра EAX. Вроде ничего не перепутал.
    Естественно это все происходит на этапе выполнения с использованием тех значений, которые оказались в регистрах на данный конкретный момент.
  1. artiom_n
    26.05.2021 17:56
    #23077338
    результат вычисляется на стадии компиляции?
    Компиляция — не вполне правильно.
    В большинстве диалектов ассемблера для x86..64 есть макроподстановка и непосредственная трансляция в машинный код (плюс, связывание, конечно).
    А это — вариант базово-индексной адресации.
    Т.е., это не constexpr в C++ и не вычисление транслятором, а компоновка из данных значений нужной команды: транслятор не вычисляет ничего.

baldr
21.05.2021 11:12
#23061692
Так а транслятор переведет эти mov в разные инструкции в машинном коде же?
В зависимости от типа операндов машинный код будет разным для инструкций.
Тогда это не татак интересно уже, хоть и забавно.
1. ionicman
  21.05.2021 11:51
  #23061924
  mov — это и есть инструкция в машинном коде.
  
  Эта программа переводит .c код (или обычный машинный код) в машинный код, который состоит только из одной команды move но с разными аргументами.
  
  И штука реально прикольная )
  1. bfDeveloper
    21.05.2021 11:59
    #23061974
    Не совсем, зависит от того, что вы называете машинным кодом. mov это инструкция языка ассемблера, ассемблер — сборщик машинных кодов. Язык ассемблера != машинный код хотя бы потому, что один текстовый, а второй бинарный, но на этом отличия не заканчиваются. Как бы абсурдно не звучало, но сам ассемблер появился как инструмент программирования под разные процессоры, фактически кроссплатформенный тулчейн для языка ассемблера.
    
    ionicman
    21.05.2021 12:03
    #23061992
    Ну во-первых, здесь пока говорится только про x86.
    И про обычный (а не макро) ассемблер, у которого каждая мнемоника имеет вполне четкий байт-код, т.е. мнемоника (ну или команда, или инструкция) — это просто название для соответствующей кучки кодов, в которую она всегда однозначно превращается, и по которой и работает процессор.
    
    Поэтому мнемоника mov имеет вполне четкое отражение 1-в-1 в машинном коде. ~~посмотрите на дамп вверху (думал что там коды, а это адрес :))~~.
    
    Если взять код программы уже в mov-ах, то там будет постоянно повторятся один и тот-же код каждую новую строчку — это и есть код мнемоники mov, а дальше будут идти ее аргументы.
    
    Это если просто, а если сложно, то код mov в x86 тоже не постоянный и варьируется, т.к. это указывает на тип mov операции, например «88» это «mov [di],dl» а «89» это «mov [si],cx».
    
    Коды по памяти, могу ошибаться с точным значением.
    
    Т.е. в обычном асме одна команда = одному набору кода + коды аргумента.
    
    Просто конкретно для mov — это интервал кодов, т.к. туда зашит тип mov — пересылка ли из регистра в регистр, или, например, косвенная пересылка и тд.
    
    Обычный асм — только для конкретной системы, пример — аналог команды асма «mov» x86 для Z80 будет «ld» с абсолютно другим кодом — т.е. и код будет отличаться и мнемоника.
    
    А вот макро-ассемблеры и тд — там уже да, может быть и под разные системы и т.д.
    
    Вот такая вот штука.
    
    baldr
    21.05.2021 13:07
    #23062404
    Ну, в целом, это примерно то же самое что я и говорил, но тем не менее, машинный код инструкции — это не просто число — это адрес в таблице соответствия инструкции в процессоре. И mov с кодами 88-89 (я тоже не помню уже коды по памяти) — это две разных команды, которые пойдут на разные группы транзисторов в процессоре.
    
    И, кстати, вы же рассматриваете всерьез идею перейти только на mov-инструкции по причинам, которые перечислены в статье? В статье есть замечание что это просто игрушка. Выглядит забавно, доказывает что-то, но новые инструкции вводят в процессор не просто так. Если новая инструкция может сэкономить полтакта на частых операциях — это уже один из поводов ее добавить. По крайней мере на CISC так точно было (привет, Pentium MMX).
    
    ionicman
    21.05.2021 13:12
    #23062436
    И mov с кодами 88-89 (я тоже не помню уже коды по памяти) — это две разных команды, которые пойдут на разные группы транзисторов в процессоре.
    Группа команд одинаковая «mov», а вот тип команды да — разный. Как уж там куда в процессоре пойдет — зависит от того, как конвеер сделан, например mov для регистр-в-регистр, ЕМНИП, будет выполнятся одинаковым конвеером (ну или транзисторами :))
    
    А Долан как раз про это и писал — по сути группа mov — это отдельный ассемблер в ассемблере )
    
    И, кстати, вы же рассматриваете всерьез идею перейти только на mov-инструкции по причинам, которые перечислены в статье?
    Я это рассматривал как один из вариантов обфускации ну и просто как забавный факт.
    
    oleshii
    22.05.2021 10:39
    #23065672
    по сути группа mov — это отдельный ассемблер в ассемблере )
    Скорее не asm в asm, это больше RISC в CISC. Начать следует с того, что последним CPU, 'честно' обрабатывающим 'длинные' CISC инструкции, был Pentium IV. После этого пошла именно гибридная модель конвейера, или скаляр в суперскаляре, что означало разные конвейерные блоки для разных типов инструкций. Ну, а блок конвейера для типа инструкции может расслаиваться на подблоки. В частрности, регистр-память модель, и т.д.
    
    JerleShannara
    23.05.2021 02:16
    #23067522
    Последним честным CISC был Pentium Pro/Pentium II.

perfect_genius
22.05.2021 01:12
#23065136
Неужели неинтересно посмотреть производительность такого кода?

BalinTomsk
22.05.2021 07:33
#23065420
самый лучший был у PDP-11
самый худший у EC

demsp
23.05.2021 13:28
#23068286
А как сложение add заменить mov'ами?
1. JerleShannara
  24.05.2021 20:03
  #23069348
  Таблицей сложения например.
  1. demsp
    25.05.2021 08:36
    #23070338
    Спасибо. А как делать сравнение? Например, для чисел 11 и 100 все единицы перезапишут нули и мы получим 111 вместо 100.
    
    baldr
    25.05.2021 12:08
    #23071116
    Да, про сравнение тоже не понял. Но сравнение предполагает условный переход, а, вроде бы, было заявлено, что программа получается вообще без ветвлений.
    
    artiom_n
    26.05.2021 18:01
    #23077360
    Сравнение делается через вычитание, а вычитание через сложение и представление в дополнительном коде.