Reverse Engineering AI-aikakaudella: Miksi työllä on enemmän merkitystä ja kuinka AI muuttaa työnkulkua

Johdanto

Monet ihmiset olettivat AI saavan käänteisen suunnittelun tuntumaan vanhentuneelta. Fantasia oli siisti. Mallit lukisivat koodia, selittäisivät binaarit, purkavat protokollia, tekisivät yhteenvedon haittaohjelmista ja yleensä korvasivat vanhan potilaan teknisen tutkimuksen jollain nopeammalla, kiiltävämmällä ja paljon paremmin konferenssin dialle sopivalla.

Todellisuus on ollut töykeämpää ja mielenkiintoisempaa.

AI ei vähentänyt käänteisen suunnittelun tarvetta. Se lisäsi sitä. Elämme nyt maailmassa, jossa on läpinäkymättömämpiä asiakkaita, enemmän mallien ympärillä olevia patentoituja kääreitä, enemmän reunalaitteita, jotka lähettävät dokumentoimatonta toimintaa, enemmän agenttien ajonaikoja, jotka ylittävät luottamusrajoja, enemmän työpöytä- ja mobiiliohjelmistoja, jotka piilottavat johdonmukaisen logiikan binääritiedostoihin, ja yhä useammat tiimit yrittävät integroida tai suojata järjestelmiä, joita he eivät ole rakentaneet ja joita he eivät pysty tarkastamaan täysin yksin lähteestä. Se ei ole vähemmän käänteistä suunnittelua. Se on enemmän ja suurempi toimituspaine.

Syvempi syy on yksinkertainen. AI laajentaa ohjelmistojen toimintaa nopeammin kuin ohjelmistojen rehellisyyttä. Järjestelmät kootaan AI:ista, ajonajoista, agenteista, laajennuksista, laitteen laiteohjelmistosta, mallia palvelevista komponenteista ja kolmannen osapuolen asiakkaista, jotka kaikki näyttävät yhtenäisiltä kaaviossa, kunnes jonkun täytyy selittää, mitä yksi binaari todella tekee, mitä yksi mallikääre todella lähettää tai miksi yksi päivitys muutti toimintaa tavalla, jota kukaan ei ilmoittautunut puolustamaan.

Tässä käänteissuunnittelusta tulee jyrkästi modernia, ei lievästi nostalgista. Se ei ole enää vain haittaohjelmien analyytikoiden, laiteohjelmistoasiantuntijoiden tai protokolla-arkeologien työtä. Se on työryhmien työtä, joiden on löydettävä totuus esineistä sen jälkeen, kun dokumentaatiosta on tullut optimistinen, epätäydellinen tai täysin kuvitteellinen.

AI muuttaa tätä työtä, kyllä. Se voi nopeuttaa lajittelua, huomautuksia, hypoteesien luomista, erotusta ja dokumentaatioluonnosta. Se voi auttaa rakentamaan apuohjelmia nopeammin. Se voi lyhentää aikaa "mikä tämä on?" ja "meillä on toimiva tekninen luku." Mutta se ei poista keskeistä kurinalaisuutta. Artefakti on vielä tutkittava. Ajoaikaa on vielä noudatettava. Protokolla on vielä validoitava. Ihmisen on vielä päätettävä, selviääkö selitys kosketuksesta todisteisiin.

Tämä on se osa, jota ihmiset yrittävät ohittaa, ehkä koska sen ohittaminen kuulostaa modernilta. Valitettavasti tuotantojärjestelmissä, tapahtumien reagoinnissa ja tietoturvatarkastuksissa on edelleen vanhanaikainen heikkous todellisuuden suosiminen.

Miksi käänteissuunnittelusta tuli arvokkaampaa, ei vähemmän

Nykyaikaiset ohjelmistot sisältävät enemmän mustia laatikoita kuin monet tiimit suostuvat myöntämään. Jotkut niistä ovat historiallisia: vanhat binaarit, myyjäasiakkaat, hylätyt laiteohjelmistot, dokumentoimattomat työpöytäkomponentit, omat protokollat, asennusohjelmat, ydinmoduulit tai väliohjelmistot, jotka eivät koskaan oppineet puhumaan selkeästi. Jotkut ovat upouusia: mallien ajonajat, agenttien kuoret, sulautetut päätelmäpaketit, selainlaajennukset, älylaitteiden päivitysmuodot ja sovelluspaketit, jotka muuttavat hiljaa paikallisen toiminnan verkon käytökseksi tavoilla, joita kukaan ei dokumentoi, koska sprintti oli jo myöhässä.

AI-aikakausi lisää tätä painetta kolmella tavalla.

Ensinnäkin se moninkertaistaa esineitä. Tiimit toimittavat ja integroivat nyt enemmän kääreitä, enemmän avustajia, enemmän asiakaspuolen logiikkaa, enemmän toimittaja SDKs ja enemmän kokeilukerroksia kuin ennen. Jokaisesta uudesta kerroksesta voi tulla paikka, jossa tietoturvaoletukset, suorituskykykustannukset tai käyttäytymisen muutokset piiloutuvat brändäyksen ja optimismin taakse.

Toiseksi se moninkertaistaa tulkintaongelmia. Kysymys ei ole enää vain "mitä tämä binaari tekee?" Se on myös "mitä tämä binääri tekee mallin kutsupolulle, hakupolulle, paikalliselle välimuistille, laajennuspinnalle, päivitysmekanismille tai operaattorin työnkulkulle?" Käänteissuunnittelusta tulee työtä, jolla palautetaan käyttäytymistä järjestelmistä, joiden dokumentaation ovat kirjoittaneet eri tiimit, eri aikakaudet tai erilaiset tunnelmat.

Kolmanneksi se moninkertaistaa väärässä olemisen kustannukset. Jos tavanomainen apuohjelma käyttäytyy oudosti, vahinko voi olla kapea. Jos AI-yhteensopiva asiakas, agenttiapulainen tai oma automaatiokomponentti käyttäytyy oudosti, vahinko voi levitä tietovuotoon, arvaamattomaan valtuutukseen, vääriin kirjausketjuihin tai tietoturvatarinaan, joka romahtaa, kun joku vertaa lupausta pakettien sieppaukseen.

Joten työllä on enemmän merkitystä, koska esineillä on enemmän merkitystä. Ongelma ei ole siinä, että ohjelmisto on käsittämätön. Ongelmana on, että tärkeät ohjelmistot pysyvät kaupallisesti aktiivisina, vaikka ne ovat vain osittain luettavissa. Käänteinen suunnittelu on tapa, jolla tiimit kurovat umpeen tämän aukon odottamatta myyjän, alkuperäisen kirjoittajan tai maailmankaikkeuden kehittävän parempia tapoja.

Missä AI auttaa aidosti käänteissuunnittelussa

AI on hyödyllinen käänteissuunnittelussa, kun sitä käytetään kiihdytyskerroksena, ei totuuden korvikkeena.

Se on erittäin hyvä saamaan ensimmäisen passin liikkeelle. Suuria kasoja merkkijonoja, tuontitiedostoja, lokeja, symboleja, purkuohjelman tulosteita, API-jälkiä ja toistuvia rakenteellisia vihjeitä voidaan ryhmitellä, merkitä, tehdä yhteenveto ja priorisoida paljon nopeammin koneen avulla kuin saamalla yksi ihminen tuijottamaan kaikkea, kunnes kahvi lakkaa toimimasta. Sillä on merkitystä, koska monet toimeksiannot eivät pysähdy vaikeimpiin teknisiin päätelmiin, vaan alkuperäisen lajittelun suolle, jonka on tapahduttava ennen kuin todellinen ongelma tulee näkyviin.

AI on hyödyllinen myös huomautuksissa. Puretut funktiot tarvitsevat nimiehdotuksia. Toistuvat puhelumallit vaativat ryhmittelyn. Ehdokasvaltion siirtymät tarvitsevat alustavia selityksiä. Protokollakentät tarvitsevat hypoteeseja. Työkalujen liima on kirjoitettava. Ghidran ja Fridan avustajat tarvitsevat ensimmäisen luonnoksen. Muulle tiimille tarkoitettujen asiakirjojen on lakattava kuulostamasta binaarista tulevalta lunnaita.

Tällainen apu on todellista. Se säästää aikaa. Se tekee työn alkuvaiheesta vähemmän tylsää. Se myös helpottaa yhteistyötä, koska raaka-artefaktista tulee enemmän keskusteltavaa aikaisemmin. Insinöörit, tutkijat ja päättäjät voivat aloittaa merkityltä kartalta digitaalisen luolan seinän sijaan.

On toinen hyöty, jolla on kaupallisesti merkitystä. AI lyhentää aikaa epäilyn ja päätöslaatuisen lukemisen välillä. Se voi muuttaa sitoutumisen taloutta. Tiimin ei tarvitse odottaa niin kauan tietääkseen, onko kyseessä tavallinen integraatioongelma, piilotettu tietoturvaraja, suojattu mallikääre, haudattu päivityspolku vai komponentti, jonka käyttäytyminen poikkeaa niin paljon dokumentaatiosta, että johdon ei pitäisi teeskennellä muuta.

Tällä tavalla käytettynä AI ei korvaa käänteistä suunnittelua. Se tekee käänteissuunnittelusta vähemmän hallinnollisesti hidasta.

Missä AI valehtelee ja miksi sillä on edelleen merkitystä

AI myös valehtelee kauniisti, ja juuri siksi kurinalaiset tiimit kieltäytyvät ottamasta sitä vastuuseen johtopäätöksistä.

Malli voi luoda uskottavia funktionimiä, jotka ovat vääriä. Se voi päätellä protokollatarinan, joka sopii puoleen kenttään ja hallusinoi loput. Se voi tuottaa luotettavia kommentteja kääntäjän ulostulolle, joka kuulostaa terävämmältä kuin todisteet ansaitsevat. Se voi romuttaa moniselitteisyyden hiottuksi lauseeksi ennen kuin suoritusaika on vahvistanut mitään. Ja koska kieli on sujuvaa, ihmiset alkavat kohdella sitä tietona eikä oletuksena mukavalla asenteella.

Tämä on erityisen vaarallista käänteissuunnittelussa, koska monet artefaktit näyttävät jo vihjailevilta. Kielet viittaavat käyttäytymiseen. Tuonti viittaa kykyyn. Symbolien muodot vihjaavat rakenteeseen. Purettu ohjausvirta vihjaa aikomukseen. Vinkit ovat hyödyllisiä. Vihjeet eivät ole tuomioita. AI antaa vihjeet kuulostavan tuomioilta aikaisemmin kuin aikuisten työnkulku sallii.

Siksi vahvat tiimit rakentavat säännön, joka tuntuu melkein vanhanaikaiselta: AI saattaa laatia hypoteesin, mutta artefakti ja suoritusaika ovat silti vastauksen kohteena.

Paketin sieppaus voittaa tarinan. Uusinta päihittää teorian. Muistijälki voittaa itsevarman kappaleen. Dynaaminen koukku voittaa viehättävän malliyhteenvedon. Toistettu tilasiirtymä voittaa epäilyttävän hiottu selityksen, joka ei koskaan selvinnyt teloituksesta.

Tämä ei tee AI:sta hyödytöntä. Se tekee siitä hallittavan. Ja hallittavat työkalut ansaitsevat pysyvän paikan vakavassa insinöörityössä.

Työnkulku, joka todella toimii

Luotettavin vuorovaikutus AI:n ja käänteisen suunnittelun välillä on pikemminkin syklistä kuin omistautumista.

Kerää ensin esine rehellisesti. Binaari, paketti, jäljitys, merkkijonot, tuonti, kaappaukset, lokit, päivityshyötykuormat, prosessipuu, järjestelmäkutsut, verkon reunat, kääntäjän lähtö. Älä anna työkalun alkaa keksiä ennen kuin todisteet ovat pöydällä.

Toiseksi, käytä AI nopeuttaaksesi lajittelua. Ryhmittele tuonti. Merkitse merkkijonot. Tee yhteenveto toistuvista virroista. Suunnittele todennäköiset moduulin vastuut. Tuo ehdokkaiden nimet ja todennäköiset rajat. Luo pieniä skriptejä toistuvaa työkalutyötä varten. Pyydä hypoteeseja, älä oppeja.

Kolmanneksi, vahvista dynaamisesti. Kiinnitä polku. Toista liikennettä. Käynnistä käyttäytyminen. Vertaa tiedostojärjestelmän muutoksia, rekisterimuutoksia, verkkomuutoksia, salaustoimintoja tai UI-tilaa hypoteesiin. Täällä kauniit valheet alkavat kuolla, ja se on terveellistä kaikille.

Neljänneksi kirjoita johtopäätös ihmiskielellä, joka kestää tarkastelun. Mitä todella tapahtuu? Mikä on vielä epävarmaa? Mikä on riski? Mitä voidaan muuttaa seuraavaksi? Mitkä todisteet tukevat tätä määräystä? Käänteinen suunnittelu tulee kaupallisesti hyödylliseksi vain, kun tulos on riittävän luettava aikatauluttaakseen.

Tämä työnkulku on hitaampaa kuin fantasia ja nopeampi kuin hämmennys. Se on yleensä oikea nopeus.

Käytännön tapaukset, jotka kannattaa ratkaista ensin

Oma AI asiakkaan käyttäytyminen

Tiimit luottavat yhä enemmän kolmannen osapuolen avustajiin, päätelmäkääreisiin, selainlaajennuksiin tai yritysasiakkaisiin, jotka väittävät olevansa turvallisia, yksityisiä, suojattuja tai paikallisia. Käänteinen suunnittelu auttaa varmistamaan, tarkoittaako paikallinen todella paikallista, toimivatko välimuistit rehellisesti, käsitelläänkö liitteet ihmisten ajattelemalla tavalla ja missä ovat todelliset verkko- ja tallennusrajat.

Agenttityökalut ja plugin pinnat

Agentin kuoret keräävät usein työkaluja nopeammin kuin ne keräävät hallintoa. Käänteinen suunnittelu ja dynaaminen tarkastus auttavat tiimejä vahvistamaan, kuinka työkaluja käytetään, mitä piilotettuja argumentteja liitetään, mihin muisti tai konteksti on tallennettu ja vastaako ajonaikainen käyttäytyminen jonkun hankintaa varten kirjoittamaa käytäntöjuttua.

Haittaohjelmat ja uhkapelit

Tämä on klassinen tapaus, ja AI on aidosti hyödyllinen tässä, kun se nopeuttaa varhaista erottelua ilman, että sen annetaan tulla lopulliseksi analyytiksi. Tuontit, merkkijonot, purkamisvinkit, komento- ja ohjausmallit sekä tiedostojärjestelmän toiminta voidaan järjestää nopeasti. Vaarallinen askel on, kun "organisoitu nopeasti" erehdytään "ymmärretyksi täysin".

Vanha yhteentoimivuus

Nykyaikaiset AI-tuotteet kiinnittyvät yhä enemmän vanhoihin yritystiloihin. Kun vanha työpöytäasiakas, laitekomponentti tai dokumentoimaton silta muodostaa edelleen polun, käänteinen suunnittelu palauttaa rajan, jota projektilla ei ole enää varaa arvata.

Miltä Hyvä näyttää

Hyvä käänteissuunnittelu AI-aikakaudella tekee kolme asiaa kerralla.

Se vähentää epäselvyyttä. Tiimi voi osoittaa todellista polkua, todellista käyttöliittymää, todellista kykyjoukkoa tai todellista riskirajaa sen sijaan, että puhuisi kalliissa säätiedotuksissa.

Se vähentää päätöksentekoon kuluvaa aikaa. Johtajuuden, tuotteen, tietoturvan tai alustan omistajat oppivat nopeammin, tarvitsevatko he korjaustiedoston, rajoitusvaiheen, uudelleenkirjoitusrajan, toimittajan keskustelun vai kieltäytymisen luottamasta työkaluun, joka esiteltiin epäilyttävän innostuneilla adjektiiveilla.

Ja se vähentää organisaatioteatteria. Kun binaari on kartoitettu, protokolla toistetaan, asiakasta tarkkaillaan tai ajonaika on kytketty, huoneesta tulee hiljaisempi. Ihmiset lopettavat mielipiteiden kuulemisen ja alkavat työskennellä todisteiden parissa. Käänteinen suunnittelu on aliarvostettua osittain siksi, että se on selventävää, ja selkeytyksellä on ilkeä tapa vaikeuttaa paisutettuja tarinoita.

Käytännön laboratorio: Rakenna pieni tuontiapuohjelma

Pidetään laboratorio käytännöllisenä. Suuri osa käänteissuunnittelutyöstä alkaa vaatimattomalla kysymyksellä: millainen binaari tämä yrittää olla?

triage.py

from collections import Counter

IMPORT_BUCKETS = {
    "network": {"send", "recv", "connect", "WSAStartup", "InternetOpenUrlW"},
    "filesystem": {"CreateFileW", "ReadFile", "WriteFile", "DeleteFileW"},
    "registry": {"RegOpenKeyExW", "RegSetValueExW"},
    "crypto": {"CryptProtectData", "BCryptEncrypt", "BCryptDecrypt"},
    "process": {"CreateProcessW", "OpenProcess", "VirtualAllocEx", "WriteProcessMemory"},
}


def classify_imports(imports):
    counts = Counter()
    for name in imports:
        for bucket, members in IMPORT_BUCKETS.items():
            if name in members:
                counts[bucket] += 1
    return counts


if __name__ == "__main__":
    sample_imports = [
        "CreateFileW",
        "ReadFile",
        "send",
        "recv",
        "BCryptEncrypt",
        "OpenProcess",
        "VirtualAllocEx",
        "WriteProcessMemory",
    ]

    result = classify_imports(sample_imports)
    for bucket, value in result.items():
        print(f"{bucket}: {value}")

Juokse

python triage.py

Miksi tällä pienellä harjoituksella on merkitystä

Koska se osoittaa hyödyllisen tavan: siirry nopeasti artefaktikohinasta rajallisiin hypoteeseihin. Käsikirjoitus ei todista, mitä binääri tekee. Se antaa sinulle puhtaamman ensimmäisen kysymyksen. Oikeassa työssä AI on erittäin hyvä auttamaan luomaan ja jalostamaan tällaisia ​​avustajia. Ihmisen on edelleen päätettävä, mitä luvut tarkoittavat kontekstissa.

Testitehtävät harrastajille

1. Laajenna luokitusta WinHTTP-, WinINet-, POSIX-socket- tai libc-tuonnilla, jotta se voi toimia useissa kohdeperheissä.
2. Lisää merkkijonokuvion ryhmittely ja vertaa, kuinka paljon parempi ensimmäisen vaiheen luku on, kun tuontia ja merkkijonoja tarkastellaan yhdessä.
3. Syötä tulos pieneen Ghidra- tai IDA-muistiinpanomalliin, jotta varhaisista hypoteeseista tulee uudelleenkäytettäviä ryhmän esineitä.
4. Pyydä AI-avustajaa ehdottamaan ryhmätunnisteita ja tarkista sitten jokainen tarra todellisen ajonaikaisen polun perusteella, ennen kuin luotat siihen.
5. Erota kaksi tuontiluetteloa saman binaarin kahdesta versiosta ja kirjoita yksisivuinen muutosyhteenveto, jota tietoturvajohto voisi todella käyttää.

Yhteenveto

Käänteinen suunnittelu on tärkeämpää AI-aikakaudella, koska nykyaikaiset järjestelmät tuottavat läpinäkymättömämpiä artefakteja, piilotettuja rajoja ja kaupallisesti merkityksellisempää toimintaa, johon ei voida luottaa pelkästään dokumentaatioon. AI auttaa työssä nopeuttaessaan luokittelua, huomautuksia ja hypoteesien luomista. Työlle sattuu, kun se ylennetään liian aikaisin avustajasta todistajaksi.

Voittokaava ei ole kone vastaan ​​ihminen. Se on koneavusteista todistetyötä, jota ohjaa ihmisen validointi. Näin tiimit saavat totuuden talteen artefakteista riittävän nopeasti helpottaakseen toimitusta ilman, että sujuva kielenkäyttö ohittaa järjestelmän, jonka sen oletetaan selittää.

Viitteet

1. Ghidra-projektin koti: https://ghidra-sre.org/
2. Fridan dokumentaatio: https://frida.re/docs/home/
3. AGR-dokumentaatio: https://docs.angr.io/
4. Wiresharkin dokumentaatio: https://www.wireshark.org/docs/
5. Capstonen purkukehys: https://www.capstone-engine.org/