GLIMPS-Audit

Retrouver le code utilisé dans votre binaire en un clin d’oeil, parmi des millions de bibliothèques !

GLIMPS-Audit s’appuie sur une technologie de détection de code, indépendante des options de compilation, de la chaîne de compilation utilisée et même de l’architecture (x86, ARM, PPC, MIPS…) ! Grâce à cela, nous comparons en un clin d’oeil un binaire à analyser avec des millions de bibliothèques et autres binaires sur étagères. Nous identifions celles inclues dans le binaire en cours d’analyse, les versions les plus proches, et documentons cela dans votre base de travail.

Le schéma ci-dessous présente les principes de cette technologie :

Un gain de temps conséquent pour l’analyste en reverse-engineering

Toute analyse de binaire commence par une phase dite de « reconnaissance » de code. Cette phase peut être rapide, mais s’étale souvent sur des jours, des semaines, voire des mois dans le cas par exemple d’un firmware monolithique. Grâce à GLIMPS-Audit, vous pouvez maintenant reconnaître et documenter quasi instantanément tout le code connu, qu’il s’agisse de code open source (bibliothèques statiques) ou de code propriétaire public (runtime d’environnement tel que Delphi, Go, ou MSVC, firmware d’OS embarqué…).

Par ailleurs, aujourd’hui vos analystes d’audit de logiciel binaire sont obligés de recommencer le travail à zéro lorsque sort une nouvelle version du produit sur lequel ils travaillent. Grâce à GLIMPS-Audit, vous pouvez à présent capitaliser le travail effectué en le réappliquant sur la nouvelle version et ainsi vous concentrer sur l’analyse du code nouveau ou modifié.

GLIMPS-Audit permet ainsi un gain de temps conséquent aux différentes étapes de l’analyse :

Concrètement, comment cela se passe ?

GLIMPS-Audit devient à présent le point d’entrée de vos travaux. Lorsque vous voulez démarrer une nouvelle analyse, il vous suffit de pousser le binaire en question sur l’interface web de GLIMPS-Audit, qui va réaliser une corrélation avec une base de millions de bibliothèques connues. Cette base contient plusieurs milliards de « Concept Codes », qui représentent les briques élémentaires de codes de ces bibliothèques. En quelques secondes (*), GLIMPS-Audit détecte alors l’ensemble des bibliothèques possédant du code commun, et vous propose de générer les éléments vous permettant d’exploiter ces résultats dans votre outil d’analyse préféré (via un script IDC par exemple, si vous travaillez sous IDA, ainsi que d’autres formats en cours d’étude : JSON, XML pour Ghidra, PDB pour WinDBG par exemple…).

(*) Selon la taille du binaire à analyser, on considère qu’une analyse complète sur l’ensemble de notre base prend entre 5s et 1 minute pour les très gros binaires (plusieurs dizaines ou centaines de milliers de fonctions).

Modes d’utilisation

GLIMPS-Audit est utilisable en plusieurs modes : via notre infrastructure en mode SaaS, ou « sur site » si vous souhaitez assurer la maitrîse de votre hébergement. Le produit n’a pas besoin d’être connecté à Internet pour fonctionner.

Afin de capitaliser vos analyses, vous avez la possibilité d’utiliser une base « privée » contenant vos propres binaires analysés. Ils feront alors partie de la phase de corrélation, et vous pourrez propager les informations de documentations sur vos nouvelles analyses comme s’il s’agissait de nos bases pré-fournies.

Quelques exemples de Use Cases

GLIMPS-Audit trouvera son utilité dans de nombreux usages, parmi lesquels :

  • L’analyse de sécurité d’un logiciel (firmware d’un système embarqué, nouveau produit logiciel…),
  • L’analyse fine d’un malware pour identifier la menace,
  • La vérification d’absence de CVEs dans un livrable.

Contactez-nous pour une démonstration ou présentation plus détaillée !

Categories: Produits