Nicolò Altamura on

ptxNinja: decompilazione per PTX (CUDA)

Mon, 09 Mar 2026 00:00:00 +0000

ptxNinja è un plugin architetturale che estende le funzionalità di Binary Ninja per supportare file *.ptx contenenti funzioni o kernel scritti in PTX. Il linguaggio PTX è un formato di basso livello utilizzato da NVDIA per le proprie GPU basate su architetture CUDA. Questo plugin consente di avere un lifter che traduce istruzioni grezze in istruzioni nel formato di basso livello (LLIL) che Binary Ninja necessita per avviare le analisi.

Chi sono

Sun, 25 Jan 2026 00:00:00 +0000

Security Engineer presso emproof, nel campo della protezione del software. Ho una solida formazione in reverse engineering, nell’analisi statica e nella ricerca e sviluppo (R&D) inerente all’analisi binaria, come disassembler, decompilatori e progettazione di linguaggi intermedi.

Questo è il sito web personale in cui pubblico alcuni post riguardo quello che faccio e i miei interessi. Il blog raggruppa gran parte della mia esperienza con la sicurezza del software, l’informatica e tutto ciò che riguarda la protezione del software.

Obfuscation Analysis: A BinaryNinja plugin

Thu, 04 Sep 2025 00:00:00 +0000

Obfuscation Analysis è un plugin per Binary Ninja progettato per migliorare la leggibilità di binari protetti una volta identificate le regioni di codice rilevanti. Fornisce strumenti mirati per affrontare i principali ostacoli del reverse engineering, tra cui la semplificazione delle MBA direttamente nella vista del decompilatore, il rilevamento e la rimozione di funzioni corrotte che compromettono la disassemblazione e l’inlining ricorsivo delle funzioni a livello di decompilazione per migliorare la propagazione e la pulizia attraverso i confini delle chiamate. Tutte le funzionalità sono implementate come task in background efficienti, con un solido sistema di gestione e segnalazione degli errori.

Ottenere le istruzioni: linear sweep e recursive traversal

Mon, 03 Feb 2025 00:00:00 +0000

Costruire il proprio insieme di strumenti di analisi è un ottimo esercizio per chi ha già delle basi e consente successivamente di poter passare ad implementare analisi più mirate nell’ambito del reverse engineering. Anche solamente vedere come poter implementare i diversi algoritmi fornisce uno schema mentale che potrebbe aiutare durante il reverse engineering di file eseguibili più difficili da analizzare, ovvero quelli offuscati.

Escludendo il formato del file, un file eseguibile contiene due tipi di informazioni principali: le istruzioni (cosa la CPU esegue) e i dati (che informazioni la CPU utilizza per eseguire le istruzioni). Per poter ricostruire le informazioni di alto livello, ogni pipeline di analisi implementa diversi passi: possiamo trovare il parsing del file eseguibile, il disassemblaggio delle istruzioni, la data flow analysis, la ricostruzione del grafo del controllo di flusso, l’inferenza dei tipi. Inferire questo tipo di informazioni è molto complesso data la natura dell’analisi statica in cui si affrontano molti problemi indecibili: poter derivare informazioni corrette è una questione difficile e ogni passo della pipeline di analisi influisce sul risultato finale.

IPA: Interactive PDF Analysis

Thu, 22 Aug 2024 00:00:00 +0000

Interactive PDF Analysis (chiamato anche IPA) consente a qualsiasi ricercatore di esplorare i dettagli interni di qualsiasi file PDF. I file PDF possono essere utilizzati per trasportare payload dannosi che sfruttano le vulnerabilità e i problemi dei visualizzatori di PDF, oppure possono essere utilizzati nelle campagne di phishing come artefatti di ingegneria sociale. L’obiettivo di questo software è quello di consentire a qualsiasi analista di andare in profondità nel proprio file PDF. Tramite IPA, è possibile estrarre payload importanti dai file PDF, comprendere le relazioni tra gli oggetti e dedurre elementi che possono essere utili per il triage di payload dannosi o non attendibili.

Appunti di Software Security

Sun, 26 Nov 2023 00:00:00 +0000

Appunti del corso Software Security tenuto dalla prof.ssa Mila Dalla Preda, anno accademico 2023/2024 del corso magistrale in scienze e ingegneria informatica presso l’Università degli Studi di Verona.

Per ora è una semplice bozza in stato embrionale: work in progress. Mancano tutti i capitoli.

Capitolo 1: Introduzione
Capitolo 2: Autenticazione
Capitolo 3: Controllo degli accessi
Capitolo 4: Protezione del software
Capitolo 5: Offuscamento del codice
Capitolo 6: Impossibilità dell’offuscamento
Capitolo 7: Offuscamento basato sulla semantica
Capitolo 8: Rilevamento del tampering
Capitolo 9: Watermarking
Capitolo 10: Similarità

Appunti PDF fino al capitolo 5

Il ruolo del grafo di controllo di flusso nell'analisi statica

Mon, 30 Oct 2023 00:00:00 +0000

Il grafo del controllo di flusso è un importante elemento da costruire nell’analisi statica dei programmi per applicare una serie di analisi che prendono in considerazione il flusso di un programma. Il “flusso”, informalmente, rappresenta l’evoluzione del programma durante il tempo d’esecuzione, ovvero a quali indirizzi la CPU salta per poter proseguire l’esecuzione del programma.

Il grafo (anche chiamato CFG per brevità) consente di ricavare in modo generale i primi elementi di alto livello del software partendo da una rappresentazione di livello basso/medio (citiamo il codice assembly o codice intermedio). Gli elementi di alto livello includono i loop di alto livello (cicli while o for), rami di esecuzione (switch, if, else) che possono essere fondamentali per individuare come l’esecuzione evolve nel tempo.

Analisi dell'offuscamento di Apple FairPlay

Mon, 28 Aug 2023 00:00:00 +0000

FairPlay comprende una serie di algoritmi creati da Apple per la gestione dei diritti digitali (anche chiamato DRM, digital rights management). FairPlay è attualmente utilizzato per gestire la decrittazione delle applicazioni per iOS durante l’installazione delle stesse sui dispositivi Apple. Sappiamo infatti che Apple distribuisce tutte le applicazioni dell’Apple Store attraverso il formato file IPA. Il formato file IPA contiene al suo interno le informazioni crittate che verranno poi utilizzate dal sistema operativo per installare una applicazione. Tutte le informazioni crittate vengono gestite tramite FairPlay che si occupa di mantenere sicura la chiave di decrittazione e tutto il processo per evitare che, in mani sbagliate, sia possibile decrittare il contenuto dei file .ipa per condividere il contenuto di un app (magari pagata).

Reverse engineering McAfee Virus Scan - Parte I: L'installer

Thu, 17 Aug 2023 00:00:00 +0000

Con questo articolo voglio riassumere alcuni dettagli che ho trovato durante l’analisi del software McAfee Virus Scan, storicamente parlando, si tratta di uno dei primi antivirus commerciali. Studiarne i dettagli e il funzionamento potrebbe rivelare alcune scelte di progettazione che mostrano come i primi antivirus funzionarono. In particolar modo siamo interessati a capire come avveniva la detection dei malware, nonché alle particolari caratteristiche che il prodotto McAfee offriva.

Pocket - Mixed Boolean Arithmetic

Tue, 25 Jul 2023 00:00:00 +0000

POCKET è un programma che consente di applicare delle trasformazioni per offuscare una espressione MBA (Mixed Boolean Arithmetic). Accetta delle espressioni in input e le offusca tramite alcune regole che vengono applicate per sostituzione.

Esempi di regole che vengono applicate:

X ^ Y == (X | Y) - (X & Y)
X + Y == (X & Y) + (X | Y)
X - Y == (X ^ -Y) + 2*(X & -Y)
X & Y == (X + Y) - (X | Y)
X | Y == X + Y + 1 + (~X | ~Y)

Rendere difficile l’analisi statica

La maggior parte dei decompilatori (ad esempio IDA Pro, Ghidra, Binary Ninja) sono in grado di riottenere da un qualsiasi programma binario gran parte delle istruzioni originali. Seppur le istruzioni in codice macchina non contengano vaste informazioni (come commenti, nomi di variabili, strutture di alto livello), è ancora possibile recuperare gran parte della logica originale.

Introduzione a Pocket: offuscatore per espressioni MBA

Mon, 24 Jul 2023 00:00:00 +0000

L’offuscamento del codice è una tecnica che consente di applicare delle trasformazioni ad un codice per rendere più difficile e più complessa eventuali analisi statiche (automatiche e non). L’analisi statica raggruppa una serie di operazioni che un’analista può svolgere su un eseguibile per cercare di ottenere le informazioni come le strutture ad alto livello, le variabili originali.

Tra le tecniche di analisi statica di un software, possiamo trovare il reverse engineering, chiamata anche ingegneria inversa. Questa tecnica consente di recuperare parte delle informazioni che permettono ad un’analista di comprendere meglio come funziona il software, in che modo interagisce con i dati e quali algoritmi utilizza. Ottenere il codice originario presenta spesso diverse sfide e insidie dal momento che il codice macchina non consente di esprimere i cicli e le strutture dati di alto livello.

È stata rilasciata la versione 0.0.3 di MicroSCOPE

Mon, 29 May 2023 00:00:00 +0000

È stata rilasciata una nuova versione di MicroSCOPE. Di seguito la lista di alcune modifiche apportate:

Migliorata euristica sulle flag delle sezioni
Risolto problema con offset delle risorse, se presenti in sezioni diverse
Aggiunta stampa sulle flag delle sezioni
Risolto problema sulla verifica della trust chain per la sezione Security
Aggiunti certificati di root Microsoft (2010 e 2017)

È possibile scaricare il software per Windows, Unix e macOS tramite il link disponibile su Github.

MicroSCOPE - analizzatore per ransomware

Sun, 08 Jan 2023 00:00:00 +0000

MicroSCOPE è un software a linea di comando che serve per analizzare in modo statico un qualsiasi programma binario ELF (*nix) o PE (Windows). MicroSCOPE applica delle euristiche per cercare eventuali caratteristiche che possano identificare il programma come ransomware.

Il progetto è stato sviluppato seguendo le tecniche moderne di ingegneria del software, prediligendo un approccio incrementale. Come linguaggio di programmazione ho utilizzato Go, potente, versatile e con una sintassi molto simile al C; Go mi ha permesso di scrivere il software in qualche settimana senza preoccuparmi della gestione dei puntatori, della memoria e di altri dettagli sulla performance out-of-scope.

È stata rilasciata la versione 0.0.2 di MicroSCOPE

Wed, 16 Nov 2022 00:00:00 +0000

È stata rilasciata una nuova versione di MicroSCOPE. Di seguito la lista di alcune modifiche apportate:

Risolti fix sull’intestazione dei file ELF
Aggiunte euristiche sul nome della sezione
Aggiunte euristiche per le risorse
Migliorate euristiche delle stringhe per ransomware
Aumentato threshold al valore 150
Risolto un problema sui valori di export
Aggiunto il campo Timestamp alla risorsa
Aggiunte euristiche per file .NET
Risolto problema di calcolo errato della dimensione dell’intestazione
Aggiunta conversione UUID/Path (Windows-related)
Risolto problema degli apici all’interno del file TXT di output

È possibile scaricare il software per Windows, Unix e macOS tramite il link disponibile su Github.

OSLab

Sat, 08 Oct 2022 00:00:00 +0000

OSLab contiene i file sorgenti per Hugo che consentono di costruire la documentazione in HTML per il corso di Sistemi Operativi, anno accademico 2021-2022, parte di laboratorio. Contiene una serie di informazioni utili che talvolta non sono scritte nelle slide e alcuni esempi di codice spiegati passo passo.

Voglio saperne di più

Creare il tuo blog statico con Hugo + Cloudflare Pages

Sun, 15 May 2022 00:00:00 +0000

Hugo¹ è uno strumento per la generazione di siti statici, scritto in Go. È incredibilmente veloce e dispone di ottime primitive di alto livello e flessibili per la gestione dei contenuti utilizzando Markdown e JSON.

Imparerai a creare un nuovo blog Hugo e la distribuirete utilizzando Cloudflare Pages. Utilizzerete la CLI di hugo per creare un nuovo sito Hugo e successivamente Cloudflare per fare il deploy del vostro sito web. Per creare un nuovo blog è necessario avere un account Cloudflare e un account Github.

Formattare data su Go

Thu, 14 Apr 2022 00:00:00 +0000

Ipotizziamo di avere il seguente codice:

t := time.Now()
fmt.Println(t.Format("yyyyMMddHHmmss"))

Come possiamo formattare la data nel formato: yyyyMMddHHmmss? La domanda è molto semplice e la risposta è quasi banale. Tuttavia il motivo di questa risposta cela uno dei grandi incubi dei programmatori che scrivono con GoLang.

2 Gennaio 2006

Per formattare la data è sufficiente inserire fmt.Println(t.Format("20060102150405")). Mh, sembra molto strano a prima vista. Perché includiamo una data? E perchè proprio il 2 Gennaio 2006?

Installare Gitea: instanza self-hosted per Git

Sun, 30 Jan 2022 00:00:00 +0000

Avete l’impressione di avere troppo codice sparso per il vostro SSD? Volete condividere elaborati e cartelle piene di codice che non toccate da anni? Odiate GitHub? Un buon backup del vostro codice tramite Git potrebbe fare al caso vostro.

Gitea è un progetto open source che ti permette di creare la tua istanza personale di Git server, accessibile con una interfaccia online che ricorda molto quella di Gitlab o Github. In questo post, andremo ad illustrare come è possibile installare Gitea e incominciare a caricare i vostri progetti.

Il problema dei metronomi de-sincronizzati

Sat, 15 Jan 2022 00:00:00 +0000

Durante lo studio di sistemi operativi, ho trovato un’importante risorsa chiamata The Little Book of Semaphores che illustra svariati esempi di esercizi della programmazione concorrente, in particolare sui semafori.

Per chi è un po’ a digiuno o non ha mai visto nella sua carriera la programmazione concorrente, facciamo un passo indietro. Ogni processo che noi eseguiamo e che viene eseguito per il sistema operativo concorre con tutti gli altri processi in esecuzione per prendere il controllo della risorsa più preziosa: la CPU. L’algoritmo di scheduling decide per quanto tempo il processo può occupare la CPU e in caso di cambio di processi, scegliere il prossimo che avrà diritto alla CPU.

Scrivere un Makefile

Sun, 12 Dec 2021 00:00:00 +0000

Make è uno strumento Unix progettato per avviare l’esecuzione di un makefile, facilitandoti il processo di compilazione. Supponiamo per esempio di avere più file sorgenti su cui dover eseguire alcuni comandi di compilazione in un determinato ordine. Eseguire tutti i comandi di compilazione ogni volta si vuole aggiornare il binario richiede molta fatica, con il rischio di trovarsi dei file oggetto obsoleto.

La soluzione è adottare lo strumento make che cercherà di eseguire passo passo un preciso schema di compilazione, basandosi su makefile, file speciali che contengono regole per la compilazione. Mentre sei nella directory contenente questo makefile, digiterai make e i comandi nel makefile verranno eseguiti. Se crei più di un makefile, assicurati di essere nella directory corretta prima di digitare make.

Compilare MentOS: Mentoring Operating System

Sun, 05 Dec 2021 00:00:00 +0000

Per il laboratorio di Sistemi Operativi, è stato richiesto di incominciare a vedere in modo autonomo MentOS¹, Mentoring Operating System, un sistema operativo “hobbystico” sviluppato da alcuni studenti dell’Università di Verona. A differenza di molti altri sistemi operativi utilizzati in altri corsi, MentOS è tra i pochi a seguire in modo dogmatico le linee guida messe a disposizione da Linux, implementando le stesse strutture dati e algoritmi.

Questo articolo vuole essere una sorta di guida passo passo per la compilazione di MentOS. Le sezioni a seguire dipendono tutte dal sistema operativo host in cui andate a compilare MentOS.

Come usare Git – Parte I

Tue, 30 Nov 2021 00:00:00 +0000

Non hai la più pallida idea di cosa sia Git? Pensi che sia il nome della nuova macchina di Elon Musk? Ne hai bisogno per SO? Non c’è nulla di cui preoccuparsi: basta seguire questa guida introduttiva passo passo e presto prenderai dimestichezza con Git, tanto da vantarti con amici e parente di essere sviluppatore™.

Prima di approfondire, chiariamo un malinteso comune: Git non è la stessa cosa di GitHub. Git è un sistema di controllo della versione (cioè un pezzo di software) che ti aiuta a tenere traccia dei programmi e dei file del tuo computer e delle modifiche che vengono apportate ad essi nel tempo. Ti consente anche di collaborare con i tuoi colleghi su un programma, codice o file. GitHub e servizi simili (inclusi GitLab e BitBucket) sono siti Web che ospitano un programma server Git per contenere il tuo codice.

L'illusione del parallelismo

Wed, 20 Oct 2021 00:00:00 +0000

Tra i tanti concetti (e pre-concetti) dell’informatica, mi ha sempre affascinato un paradigma in particolare: l’illusione. In informatica, a differenza di molte altre scienze, sei libero di barare, nascondere e utilizzare tutti i trucchetti che vuoi per far credere all’utente qualsiasi cosa. Alcuni pattern su interfaccie grafiche e relative ad esperienze utente sono così subdoli da essere stati fortemente criticati da molte persone¹.

Uno dei “trucchi di magia” che ancora mi rende affascinato consiste nel “finto parallelismo”. Immaginiamo di avere un dispositivo ad una CPU con un solo core e di voler ascoltare la musica in background mentre scriviamo il nuovo articolo da pubblicare su un blog. Dalla teoria di base dell’informatica sappiamo che un solo core può eseguire al massimo una operazione alla volta e, salvo casi particolari, non è possibile avere un parallelismo tra istruzioni.

Ciao mondo!

Tue, 19 Oct 2021 00:00:00 +0000

Ciao mondo. Ogni blog che si rispetti deve iniziare con la frase tipica del programma che di solito propongono durante la prima lezione di qualsiasi corso di programmazione. Chi avrà sicuramente tentato lo sviluppo di programmi, si sarà imbattuto sicuramente in Hello world. Seppur non rappresenti alcuna caratteristica interessante all’interno di un programma, mostrare un semplice messaggio a video è già un progresso: significa avere capito come compilare/eseguire il programma! (o, in alternativa, aver capito quali tutorial seguire e quali no)