阿里安全展示的“自动逆向机器人”TimePlayer 究竟是什么

▲点击上方 雷锋网 关注

文 | 李勤

来自雷锋网（leiphone-sz）的报道

在 7 月 21 日举办的看雪安全开发者峰会上，阿里安全猎户座实验室首度向外界展示了最新的研究成果“自动逆向机器人” ——TimePlayer 。据阿里安全猎户座实验室研究人员弗为称，该机器人可以像医生一样“望闻问切”，对程序进行显微镜级别的勘察，并完整“回放”其运作过程，因此，可以侦测出程序中的漏洞或隐蔽行为。

弗为在演讲中还称，TimePlayer 集“摄像机”“播放机”和下“显微镜”三大功能于一身。如果要分析一个程序，只需在 TimePlayer 中运行一次就可以，它会把该程序所有的行为全部忠实地记录下来，而且不会遗漏任何细节。不仅如此，TimePlayer还可以将“拍摄”的内容进行向前放、向后放、快放、慢放，能够放大任意处的细节并且追踪任意的目标。最重要的是，TimePlayer 对于程序行为的勘察粒度达到了指令级别。

以 WannaCry 勒索病毒为例，由于 WannaCry 勒索病毒刻意地删除了本机的“私钥”，因此，理论上只能掏钱向勒索者获取，通过TimePlayer 可以发现，“私钥”实际上在用户态和内核态均有残留，且相较于暴力搜索用户态内存方法，精准的内核态残留提取更为稳定。

同时，TimePlayer 可逆向超级复杂的文件格式。甚至是 DOC 这类超级复杂的文件格式，只需要把DOC文档放到 TimePlayer 中打开，就能自动化地对文件进行分析。弗为称，以前要好几个人耗费数年时间的分析工作，TimePlayer 几天时间就可以搞定，而且无需人员参与。

另外，为了对抗人工逆向，防护人员开发了各种各样的工具和产品提升逆向难度，TimePlayer 甚至可以对付最难搞的“虚拟机壳”。

此前，雷锋网编辑曾采访阿里安全 P10 级资深安全总监黄眉，得知阿里安全内部近期有两大研究方向：数据安全和智能化攻防。不难看出，TimePlayer 应该是阿里安全主攻的两大研究方向下的产物，甚至可以说，这是近年来极少对外发声、展示新工具的阿里安全比较重视的一次展示。

雷锋网(公众号：雷锋网)曾报道过 360 冰刃实验室负责人潘剑锋等人开发的一款自动漏洞挖掘工具 Digtool ，详情请见《他们造了一个自动挖掘工具，能找到比核武器更可怕的漏洞》，文中提到，Digtool 目前擅长挖掘六类漏洞，而且针对的是 Windows系统。那么，这两款工具有什么相同点和不同点？

雷锋网从阿里安全独家了解到，Digtool 是漏洞专挖工具，相对目的性更强一些，严格来说，TimePlayer 不是漏洞挖掘工具，而是程序逆向分析框架，可以在平台层上二次开发各种应用，包括漏洞挖掘、逆向分析等；在分析范围上， Digtool 利用的是 Intel pt，用于 Intel 架构下分析。Timeplayer 基于 qemu，可以针对包括 arm 在内的其他架构。

“也可以基于 TimePlayer 开发漏洞挖掘的应用，我们正在开发这项功能，也找到了一些arm/windows内核的问题，但还没有总结对外展示。现阶段的产出还是比较偏逆向分析方向的应用，但是 Digtool 有的能力也是具备的，只是需要时间去积累产出。”阿里安全方面透露。

阿里安全猎户座实验室负责人杭特认为，逆向能力是安全从业人员必须具备的基本功。在当前的安全行业，逆向工作基本都是不断重复的、纯体力的。

也就是说，目前这个工具的主要价值还是减少逆向工作的人力劳动。最后，雷锋网了解到，以上纯属展示，阿里安全尚未公开发布这款工具，TimePlayer 现阶段仍在阿里安全内部使用。

- END -