Cyril FrançoisDaniel StepanicJia Yu Chan

O Custo da Compreensão: Engenharia Reversa Orientada por LLM vs. Ofuscação Iterativa de LLM

A Elastic Security Labs explora a corrida armamentista em curso entre a engenharia reversa impulsionada por LLM e a ofuscação.

23 minutos de leituraInteligência Artificial Generativa, Engenharia de Detecção, Análise de Malware

Introdução

Nos últimos anos, temos observado uma evolução significativa na capacidade dos LLMs (Learning Learning Machines) de serem produtivos e de executarem diversas tarefas que abordam problemas do mundo real, como síntese de programas, pesquisa de malware ou pesquisa de vulnerabilidades. Especificamente no contexto da engenharia reversa, as LLMs são particularmente eficazes com as ferramentas certas, pois são muito boas em ler o código-fonte mesmo sem símbolos. Além disso, graças ao seu conhecimento, eles são capazes de imitar e aplicar metodologias de engenharia reversa.

Os métodos de ofuscação de programas criam uma assimetria significativa entre o tempo necessário para aplicar as transformações a um programa e o tempo necessário para realizar a engenharia reversa, proporcionando uma defesa relativamente eficaz contra a engenharia reversa e pressionando os pesquisadores a perderem tempo e desenvolverem novos métodos. O surgimento dos LLMs mudou significativamente o jogo, já que os modelos agora são capazes de quebrar essas ofuscações (dependendo das transformações aplicadas) em um tempo razoável, revertendo assim essa assimetria em favor do atacante.

No entanto, nesse jogo de gato e rato, presumimos que seja apenas uma questão de tempo até que os fabricantes de ofuscadores se adaptem com novas técnicas e elevem o nível de exigência, assim como, para enfrentar essa nova realidade onde a engenharia reversa nunca foi tão acessível, os produtores de software aplicam sistematicamente essas transformações para proteger sua propriedade intelectual.

Duas vezes por ano, a Elastic oferece aos engenheiros a oportunidade de realizar um projeto de pesquisa de uma semana durante a ON Week. Para esta sessão de abril de 2026 , inspirados por este artigo, pesquisamos como é barato e fácil usar técnicas de ofuscação vibecode direcionadas contra LLMs, especificamente o Claude Opus 4.6. Esta pesquisa abordará um teste inicial que realizamos, no qual testamos o modelo em alvos compilados com várias combinações de transformações usando o ofuscador acadêmico (mas muito poderoso) Tigress . Em seguida, apresentamos nossa pesquisa sobre diferentes técnicas de ofuscação que consideramos eficazes contra o modelo, as quais foram completamente codificadas usando um pipeline de desenvolvimento/teste/aprimoramento orientado por IA.

Devido às restrições de tempo, concentramo-nos nas defesas de análise estática. No entanto, acreditamos, sem dúvida, que o fluxo de trabalho que utilizamos também pode ser usado para pesquisar ideias focadas em defesas de análise dinâmica, como técnicas de evasão e anti-depuração, para tornar a análise orientada por LLM significativamente mais cara e não confiável.

Principais conclusões

  • Os mestrados em direito (LLMs) transformaram rapidamente a indústria de software, tornando tópicos complexos como engenharia reversa mais acessíveis, incluindo a capacidade de superar vários níveis de ofuscação.
  • A ofuscação excessiva aumenta drasticamente o custo e o tempo computacionais, interrompendo os fluxos de trabalho de análise automatizados.
  • Contramedidas eficazes de análise estática direcionadas a LLM são baratas e rápidas de desenvolver.
  • Defesas bem-sucedidas em casos de mestrado em direito exploram janelas contextuais, limites orçamentários e vieses de atalho.

Comparativo Claude Opus 4.6 vs Tigress Obfuscator

Usamos o Claude para avaliar sua capacidade de resolver estaticamente um crackme ofuscado com o ofuscador acadêmico Tigress.

Pipeline de referência

Para realizar esses testes, utilizamos uma configuração de controlador/trabalhador na qual uma instância do Opus gerencia subinstâncias: ela monitora o progresso delas, coleta seus resultados e pode alocar mais tempo a uma instância se julgar que ela está progredindo e tem potencial. Por outro lado, também pode encerrar a instância se estimar que o modelo está preso em sua tarefa, dando voltas em círculos ou começando a resolver o problema por força bruta.

Cada subinstância de trabalho tem acesso a uma máquina virtual Windows com o IDA Pro instalado e acessível através do plugin IDA MCP. Ele também tem acesso aos recursos da máquina virtual Linux em que é executado para desenvolver e iniciar scripts.

Além disso, utilizamos o plugin Caveman, compatível com Claude, que reduz a comunicação desnecessária do LLM em até 75% com as instruções corretas na inicialização. Isso aumenta a velocidade de trabalho e reduz o custo de cada tarefa. Nós o utilizamos em seu modo padrão.

Essa configuração permite que cada instância de trabalho inicie o teste com um contexto vazio e um prompt clássico de engenharia reversa, de forma que ela não saiba que está sendo monitorada como parte do benchmark.

Sistema de avaliação

Para a pontuação, cada alvo é avaliado pela instância do controlador em três eixos (0 a 2 pontos cada), para um máximo de seis pontos:

Eixo210
Identificação de AlgoritmosIdentificação correta de XOR multirrodada com derivação de chave LCG a partir da semente.Parcial — XOR ou cifra encontrada, mas cronograma ou rodadas de chave ausentes.Errado ou desistiu
Recuperação de senhaSenha exata r3v3rs3!Encontrou a semente, os bytes esperados ou a derivação parcial da chave, mas não concluiu.Nada
Profundidade AnalíticaDetalhes internos completos: semente, constantes LCG, rodadas 4 , XOR+rotação, inversãoAlguns componentes, mas um quadro incompleto.apenas na superfície

Casos de teste

Para realizar esses testes, usamos o seguinte desafio: recuperar a senha r3v3rs3! por meio de engenharia reversa estática do binário compilado.

// Run 2 crackme — 4-round XOR cipher with LCG key schedule
// Password "r3v3rs3!" only recoverable by reversing the algorithm.
// No key array in the binary — only a 32-bit seed.

unsigned int key_seed = 0x5EED1234u;

unsigned char enc_expected[8] = {
    0x1a, 0xcb, 0x74, 0xaa, 0x1a, 0x8b, 0x31, 0xb8
};

void transform(const char *input, unsigned char *output, int len) {
    unsigned int s = key_seed;
    unsigned int subkeys[4];

    // Key schedule: derive 4 round subkeys via glibc LCG
    for (int r = 0; r < 4; r++) {
        s = s * 1103515245u + 12345u;
        subkeys[r] = s;
    }

    // Copy input to 8-byte buffer (zero-padded)
    for (int i = 0; i < 8; i++)
        output[i] = (i < len) ? (unsigned char)input[i] : 0;

    // 4 rounds: XOR with subkey bytes, then rotate left by 1
    for (int r = 0; r < 4; r++) {
        for (int i = 0; i < 8; i++)
            output[i] ^= (unsigned char)(subkeys[r] >> (8 * (i & 3)));

        unsigned char tmp = output[0];
        for (int i = 0; i < 7; i++)
            output[i] = output[i + 1];
        output[7] = tmp;
    }
}

int verify(const unsigned char *transformed, int len) {
    if (len != 8) return 0;
    for (int i = 0; i < 8; i++)
        if (transformed[i] != enc_expected[i]) return 0;
    return 1;
}

// main(): reads argv[1], calls transform(), calls verify()
// prints "Access granted!" or "Access denied."

Resultados

Execução padrão

Compilamos o desafio com diferentes transformações, cada transformação produzindo um binário diferente, mas com o mesmo comportamento e características. Na primeira execução, utilizamos as opções padrão para cada transformação. Todas as transformações disponíveis em Tigresa estão disponíveis aqui. Os testes foram divididos em 4 fases de dificuldade crescente para um total de 22 alvos:

Fase 0 - Sem transformações

  • p0_baseline — Nenhuma transformação

Fase 1 — Transformações Individuais (7 alvos):

  • p1_encode_arithmetic — Somente EncodeArithmetic
  • p1_encode_literals — Somente EncodeLiterals
  • p1_flatten_indirect — Aplanar (indireto) apenas
  • p1_jit — Somente JIT
  • p1_jit_dynamic — JitDynamic(xtea) apenas
  • p1_virtualize_indirect_regs — Virtualizar (indireto,regs) apenas
  • p1_virtualize_switch_stack — Virtualizar (switch, stack) apenas

Fase 2 — Transformações Emparelhadas (7 alvos):

  • p2_both_data — EncodeLiterals + EncodeArithmetic
  • p2_flatten_ind_enc_arithmetic — Flatten(indirect) + EncodeArithmetic
  • p2_flatten_ind_virt_sw — Aplanar (indireto) + Virtualizar (alternar)
  • p2_jitdyn_enc_arithmetic — JitDynamic(xtea) + EncodeArithmetic
  • p2_virt_ind_enc_arithmetic — Virtualize(indirect,regs) + EncodeArithmetic
  • p2_virt_ind_enc_literals — Virtualize(indirect,regs) + EncodeLiterals
  • p2_virt_sw_enc_arithmetic — Virtualizar(alternar) + CodificarAritmética

Fase 3 — Combos Pesados (7 alvos):

  • p3_double_virtualize — Virtualizar (switch) e depois Virtualizar (indireto,regs) — VMs aninhadas
  • p3_double_virt_both_data — Virtualização dupla + EncodeLiterals + EncodeArithmetic (o chefe)
  • p3_flatten_ind_both_data — Flatten(indirect) + EncodeLiterals + EncodeArithmetic
  • p3_flatten_virt_ind_enc — Flatten(indirect) + Virtualize(indirect,regs) + EncodeArithmetic
  • p3_jitdyn_both_data — JitDynamic(xtea) + EncodeLiterals + EncodeArithmetic
  • p3_virt_ind_both_data — Virtualize(indirect,regs) + EncodeLiterals + EncodeArithmetic
  • p3_virt_sw_both_data — Virtualize(switch) + EncodeLiterals + EncodeArithmetic

A lista completa de transformações, juntamente com as opções de geração que utilizamos, está disponível aqui.

A avaliação dos resultados integrou três critérios principais: a pontuação de desempenho, o custo e o tempo de execução da tarefa. É crucial observar que, mesmo que um modelo de linguagem de grande porte apresente alto desempenho, sua eficiência real é sempre limitada pelo custo e pelo tempo. Esses dois fatores são decisivos na análise binária em larga escala, uma tarefa que buscamos otimizar por meio dos diferentes fluxos de trabalho de análise automatizada desenvolvidos na Elastic. Nosso objetivo é, portanto, determinar se o uso de ferramentas como o Tigress aumenta significativamente essas três variáveis fundamentais: desempenho, custo e tempo.

O Opus 4.6 resolveu 40% das tarefas 20 (22 das quais 2 travou e não pôde ser avaliada) com um custo médio de $2,39 para sucessos e $4,83 para falhas. Desses 40%, 12,5% vieram da fase 0 (desafio nu sem ofuscação), 50% da fase 1 (transformação simples), 38,5% da fase 2 (par de transformações) e 0% da fase 3 (múltiplas camadas).

Sem surpresas, observamos um aumento significativo tanto no custo quanto no tempo de execução à medida que a dificuldade aumenta. A Fase 3, que inclui as combinações mais complexas de transformações, apresenta os melhores resultados com um custo médio de US$ 4,32. Todas as tarefas com falha nesta fase foram encerradas porque o modelo começou a desperdiçar tokens por agir de forma desorientada ou por força bruta, não conseguindo progredir.

A ofuscação do tipo JIT (Just-In-Time) provou ser a transformação mais problemática para o nosso modelo durante a Fase 1. Essa técnica consiste em armazenar o código em um formato intermediário criptografado. Em tempo de execução, o ofuscador lê esse bytecode e gera um código x86 válido, que é executado em memória alocada dinamicamente. Esse processo é comparável ao de uma máquina virtual (como um emulador de PlayStation), que compila o código para uma arquitetura diferente da arquitetura de destino e utiliza um emulador, com as etapas adicionais de JIT antes da execução.

Apesar da falha das tarefas JIT, é importante notar que o Opus 4.6 ainda identificou as estruturas do mecanismo que hospedam o algoritmo LCG no crackme. A falha residiu na recuperação das constantes cruciais necessárias para encontrar a chave.

Seu trabalho continua sendo muito impressionante, e pode-se presumir que, com um orçamento maior e melhor orientação, o modelo poderia ter tido sucesso. No entanto, devemos considerar a assimetria prática entre a facilidade de gerar tal tarefa e o tempo e custo necessários para resolvê-la. Para uma transformação simples, essa técnica de ofuscação é muito eficaz e torna inviável o aumento do número de amostras processadas por meio de um pipeline automatizado.

A Fase 3, caracterizada pela multiplicação e combinação de camadas de ofuscação, levou a uma explosão de custos. Embora Claude tenha, mais uma vez, realizado parte do trabalho de forma muito impressionante, a tarefa excedeu sua capacidade de prosseguir de forma autônoma.

Por exemplo, nossos resultados mostram que, ao se deparar com uma dupla camada de virtualização (como um jogo de Game Boy Advance rodando em um emulador de GBA, que por sua vez roda em um emulador de PlayStation), Claude consegue recuperar os manipuladores e o bytecode da máquina virtual superior (o PlayStation). No entanto, essa exploração requer um esforço considerável: análise estática dos manipuladores, desenvolvimento iterativo (múltiplos ciclos de desenvolvimento/depuração) do emulador alvo e, em seguida, análise dos resultados.

No entanto, Claude gasta a maior parte do seu orçamento nessas etapas preliminares. É possível imaginar que, com tempo e orçamento ilimitados e um pouco de orientação, ele conseguiria concluir toda a tarefa com sucesso. Essa eficiência o torna formidável para tarefas únicas ou CTFs (Capture The Flag). No entanto, a ofuscação continua sendo uma estratégia viável como defesa contra um fluxo de trabalho automatizado que maximiza a redução de custos e tempo para processar o maior número possível de amostras.

AlvoFaseTransformaçõesVeredictoPontuaçãoCustoViradasTempo
p0_baseline0Nenhum (controle)Sucesso6/6$ 0,43201 min 55 s
p1_encode_arithmetic1Codificar Aritmética (MBA)Sucesso6/6$ 0,47162 minutos e 20 segundos
p1_encode_literals1EncodeLiteralsSucesso6/6$ 1,65289 min 38 s
p1_flatten_indirect1Aplanar (indiretamente)Sucesso6/6$ 1,27586 min 56 s
p1_jit1JitFALHA2/6$ 5,904032 min 18 s
p1_jit_dynamic1JitDynamic (xtea)FALHA2/6~$6+137morto
p1_virtualize_indirect_regs1Virtualizar (indiretamente, regs)Sucesso6/6$ 6,009725 min 28 s
p1_virtualize_switch_stack1Virtualizar (comutar, empilhar)INFRA_HANGN/DN/DN/DN/D
p2_both_data2EncodeLiterals + MBASucesso6/6$ 1,08216 min 13 s
p2_flatten_ind_enc_arithmetic2Flatten + MBASucesso6/6$ 1,47548 min 03 s
p2_flatten_ind_virt_sw2Aplanar + Virtualizar (alternar)FALHA2/6~$3+58morto
p2_jitdyn_enc_arithmetic2JitDynamic + MBAFALHA2/6~$3+51morto
p2_virt_ind_enc_arithmetic2Virtualizar + MBASucesso6/6$ 3,856519m 05s
p2_virt_sw_enc_arithmetic2Virtualizar (switch) + MBAINFRA_HANGN/DN/DN/DN/D
p2_virt_ind_enc_literals2Virtualizar + CodificarLiteraisFALHA2/6~$5+124morto
p3_virt_ind_both_data3Virtualizar + CodificarLiterais + MBAFALHA2/6~$6+140morto
p3_virt_sw_both_data3Virtualizar (alternar) + EncodeLiterals + MBAPARCIAL3/6$ 3,302318 min 58 s
p3_jitdyn_both_data3JitDynamic + EncodeLiterals + MBAFALHA1/6~$2+41morto
p3_flatten_virt_ind_enc3Aplanar + Virtualizar + MBAFALHA1/6~$5+111morto
p3_flatten_ind_both_data3Flatten + EncodeLiterals + MBAFALHA1/6~$3+65morto
p3_double_virtualize3Virtualização duplaFALHA1/6~$6+138morto
p3_double_virt_both_data3Virtualização dupla + EncodeLiterals + MBAFALHA1/6~$5+106morto

Corrida endurecida

Tigress possui opções adicionais para tornar suas transformações mais complexas; na versão anterior, usamos as opções padrão. Neste caso, analisamos as situações em que Claude conseguiu romper a ofuscação e utilizamos as opções mais agressivas.

Aprimoramos e avaliamos os seguintes aspectos das tarefas:

  • p1_encode_arithmetic — Somente EncodeArithmetic
  • p1_flatten_indirect — Aplanar (indiretamente) apenas
  • p1_virtualize_indirect_regs — Virtualizar (indiretamente, apenas registros)
  • p2_both_data — EncodeLiterals + EncodeArithmetic
  • p2_flatten_ind_enc_arithmetic — Achatar (indireto) + CodificarAritmética
  • p2_virt_ind_enc_arithmetic — Virtualizar (indireto, registradores) + CodificarAritmética

A lista completa de transformações, juntamente com as opções de geração que utilizamos, está disponível aqui.

A aplicação das opções de ofuscação mais agressivas para cada transformação testada não fez com que o modelo falhasse nas tarefas que havia hospedado anteriormente. No entanto, observou-se um aumento significativo nos fatores de custo e tempo: até um fator de x4 para o tempo e x4,5 para o custo no caso da tarefa p2_flatten_ind_enc_arithmetic .

Ao que tudo indica, a combinação de achatamento do fluxo de controle (CFF) e expressões complexas de Aritmética Booleana Mista (MBA) é mais eficaz do que a associação de virtualização (VM) e MBA. Essa superioridade decorre do fato de que, mesmo quando o código é virtualizado, os manipuladores de máquinas virtuais implementados pelo Tigress permanecem pequenos e fáceis de analisar. Por outro lado, o CFF causa uma explosão no tamanho da função, o que parece ser uma fraqueza mais impactante para o LLM.

Os resultados comparativos são apresentados na tabela abaixo:

AlvoTransformaçõesCusto de execução 2 Custo de execução 3 Relação custo-benefícioTempo de execução 2 Tempo de execução 3 Proporção de tempo
p0_linha de baseNenhum (controle)$ 0,43$ 0,360,8x1 min 55 s1 min 32 s0,8x
p1_codificar_aritméticaMBA$ 0,47$ 0,711,5x2 minutos e 20 segundos4 min 08 s1,8x
p1_achatar_indiretoAchatar$ 1,27$ 1,691,3x6 min 56 s9 min 32 s1,4x
p1_virtualizar_regs_indiretosVirtualizar$ 6,00$ 5,070,8x25 min 28 s25 min 31 s1,0x
p2_ambos_dadosEncodeLiterals + MBA$ 1,08$ 1,211,1x6 min 13 s6 min 46 s1,1x
p2_flatten_ind_enc_arithmeticFlatten + MBA$ 1,47$ 6,604,5x8 min 03 s34 min 53 s4,3x
p2_virt_ind_enc_aritméticaVirtualizar + MBA$ 3,85$ 5,961,5x19m 05s28 min 03 s1,5x

Desenvolvimento de técnicas de ofuscação direcionadas a LLMs

A capacidade dos LLMs (Licensed Licensing Methods) de realizar engenharia reversa de software de código fechado melhorou de forma impressionante nos últimos anos e certamente continuará a progredir. Até agora, os métodos clássicos de ofuscação criaram uma assimetria significativa entre o tempo necessário para proteger o software e o tempo necessário para realizar a engenharia reversa após a implementação da proteção. No entanto, como demonstramos na seção anterior, um agente de engenharia reversa baseado em LLM foi perfeitamente capaz de burlar essas proteções e recuperar o código original com metodologia e precisão impressionantes, tanto estaticamente quanto sem auxílio, reduzindo significativamente essa assimetria pela primeira vez.

No entanto, também observamos que, à medida que a complexidade da ofuscação aumenta, o tempo, o custo e os fatores de sucesso são drasticamente afetados, reduzindo consideravelmente a viabilidade de ampliar o número de amostras processadas por um pipeline de análise automática.

Embora os LLMs facilitem a engenharia reversa, eles também tornam igualmente fácil a criação de mecanismos de ofuscação contra si mesmos. Utilizando o Opus 4.6, desenvolvemos um conjunto de técnicas de nível de fonte que visam as fragilidades estruturais e analíticas da análise baseada em LLM. Usando o mesmo crackme de antes, alcançamos resultados surpreendentes em todos os fatores, próximos aos que obtivemos com as transformações mais difíceis do ofuscador Tigress.

Análise das fragilidades do LLM'

O trabalho de engenharia reversa do LLM é surpreendentemente semelhante ao do raciocínio humano, sendo a principal diferença o fato de que um ser humano não está limitado por uma janela de contexto que o torna cada vez mais tolo à medida que essa janela se preenche. A janela de contexto é, portanto, obviamente a primeira, e talvez a mais importante, fragilidade dos modelos; ela se preenche à medida que a tarefa se prolonga, a cada leitura de código, reflexão, escrita de scripts, etc. Fazer com que o modelo desperdice o máximo de tempo possível em caminhos desnecessários e becos sem saída é, portanto, imprescindível.

A injeção de prompts é outra técnica direcionada a modelos de lógica latente (LLMs), na qual prompts (entradas) especialmente elaborados são usados para desencadear comportamentos não intencionais (saídas) do modelo. O objetivo dessa técnica é manipular ou confundir o sistema subjacente para que o comando possa contornar os controles de segurança e gerar resultados não intencionais ou não autorizados. Isso representa um risco de segurança significativo, pois pode explorar vulnerabilidades na forma como os modelos de linguagem interpretam e priorizam instruções, especialmente quando implementados em sistemas conectados à internet com acesso a dados sensíveis, ferramentas externas ou recursos de leitura/gravação. Embora tenhamos tentado incorporar e ocultar strings de injeção de prompts em alguns de nossos testes para enganar o LLM e fazê-lo encerrar prematuramente sua análise ou chegar a uma conclusão errada, nenhuma de nossas tentativas teve sucesso para o Opus 4.6 até o momento.

Os modelos mais poderosos que usamos diariamente em nosso trabalho, infelizmente, ainda não são de código aberto e são ainda menos acessíveis devido ao hardware necessário para executá-los. É por isso que temos assinaturas para plataformas online que, embora poderosas, custam muito dinheiro ao usuário. É, portanto, óbvio e nada surpreendente, visto que já discutimos bastante sobre isso, que o custo de processamento, seja temporal ou monetário, é outra grande fragilidade. Assim como na janela de contexto, procuraremos fazer com que o modelo perca o máximo de ciclos possível para que consuma a maior quantidade de recursos. Se o modelo também falhar depois de esgotar o orçamento, ganhamos na loteria.

Por fim, e esta é a fraqueza mais curiosa, o modelo tende a trapacear ou a usar atalhos. Especificamente, quando o problema é difícil, a pessoa buscará todos os truques possíveis para economizar tempo e poderá até mentir para encurtar o processo. Estamos, portanto, buscando explorar essa fragilidade, fornecendo deliberadamente informações falsas ao modelo e ocultando os comportamentos reais o máximo possível, para que ele seja induzido a acreditar que as informações são verdadeiras e não tente investigar mais a fundo. Sem revelar detalhes da trama, como vocês verão mais adiante neste post, mesmo com a informação de que há algo a ser investigado, encontramos técnicas que impedem completamente a sua análise.

Fluxo de trabalho de desenvolvimento

Para desenvolver essas técnicas de ofuscação, usamos uma versão ligeiramente modificada do pipeline de benchmark para iterar, testar e refinar as técnicas ao longo de várias iterações até alcançarmos os resultados desejados. O processo iterativo é simples: desenvolvemos uma versão, submetemos o binário a uma nova instância de trabalho com uma solicitação de engenharia reversa, avaliamos os resultados após a conclusão da tarefa e discutimos as áreas de melhoria com a instância de controle.

Isso é ainda mais eficaz porque a instância de engenharia reversa nos fornece todo o seu processo de pensamento, permitindo-nos identificar facilmente as partes de nossa ofuscação que possibilitaram a obtenção do avanço. Em seguida, "codificamos a vibração" da melhoria e prosseguimos com a próxima iteração.

Ao utilizar esse fluxo de trabalho, conseguimos desenvolver e aprimorar nossas técnicas muito rapidamente, compreendendo melhor seus métodos e lógica de análise, com progresso significativo nos resultados a cada iteração até que o modelo fosse refutado.

Variante 1 do ofuscador: Parede Matrioska

Essa técnica de ofuscação explora a assimetria entre as capacidades de análise estática e dinâmica de um LLM. Ao forçar o agente a reimplementar serialmente um grande número de operações que são baratas de executar nativamente, mas caras de emular estaticamente, a técnica cria uma relação tempo-custo proibitiva que torna a análise impraticável dentro de um orçamento realista.

Essa técnica esconde a lógica do crackme por trás de um carregador e 100.000 camadas de criptografia — uma matriosca de estágios ChaCha20 encadeados. O LLM consegue identificar corretamente o esquema de derivação de chaves e as etapas de descriptografia, mas resolver o desafio exige a execução dessas etapas, e as ferramentas de análise estática do agente não possuem uma maneira de executá-las nativamente. É necessário reimplementar o ChaCha20 em Python dentro de seu próprio loop, onde 100.000 rodadas sequenciais se tornam proibitivamente lentas — o agente atinge um limite e esgota seu orçamento de tokens antes de alcançar a carga útil interna.

Arquitetura e técnicas

O programa consiste em um único arquivo ELF de 4,4 MB chamado authd, composto por três partes lógicas:

  • Uma pequena carregadeira que funciona como camada externa.
  • blob de payload criptografado de 4,4 MB incorporado na seção .rodata do carregador
  • Binário crackme de 16 KB que inclui a verificação de senha original.

Quando uma senha é fornecida ao carregador, ele percorre 100 mil fases em ordem inversa. A chave ChaCha20 de cada etapa é derivada da semente do host incorporada, combinada por meio de um XOR com um fragmento de 32 bytes que só se torna visível após a descriptografia da etapa anterior — portanto, as chaves não podem ser pré-computadas apenas a partir da semente do host.

Cada iteração descriptografa apenas o cabeçalho de 44 bytes do estágio, verifica uma palavra mágica e o índice do estágio, extrai o próximo fragmento e avança um deslocamento de leitura; após as iterações, a cauda do buffer contém o crackme de texto plano ELF, que o carregador grava em um descritor de arquivo anônimo memfd_create e entrega via execve — substituindo-se pelo crackme, que então executa a senha do usuário contra o texto cifrado esperado codificado.

Embora o ChaCha20 fosse a cifra real, o binário foi iniciado com a técnica de desvio Salsa20 — uma implementação funcional de salsa20_core , símbolos exportados e uma nota ELF do fornecedor — projetada para direcionar a análise para a cifra errada.

Resultados

No primeiro teste, a chave por estágio não foi encadeada — a chave de cada estágio era uma função pura da semente do host e do índice do estágio, computáveis independentemente. Como cada chave dependia apenas de host_seed e i — ambos dados estáticos incorporados no binário — um analista que extraísse a semente do host poderia pré-calcular todas as 100.000 chaves offline em um único lote e, em seguida, descriptografar cada estágio em paralelo sem nunca executar o binário. O tamanho do cabeçalho do estágio era 12 bytes, resultando em um tamanho binário de 1,2 MB.

Para este primeiro teste usando o Opus 4.6, custou US$ 1,50 e levou um total de 10 minutos com 30 turnos. Foi capaz de percorrer o fluxo de controle, identificar o elemento compactador, descriptografar 100 mil camadas e extrair a chave base ChaCha20.

Após analisar o arquivo binário, o agente concluiu que resolvê-lo exigiria execução em tempo de execução, algo que ele não possuía, e parou sem tentar a descriptografia. A execução foi barata (US$ 1,50), mas ainda assim atingiu o objetivo principal: o agente não recuperou a senha.

Na segunda iteração, o programa foi modificado de forma que a chave ChaCha20 de cada estágio seja derivada da semente do host, combinada com um fragmento de 32 bytes armazenado no cabeçalho do próximo estágio externo — assim, o fragmento só é revelado após a descriptografia desse estágio externo. Isso significa que as chaves não podem ser pré-computadas apenas a partir da semente do host; um analista precisa executar a cadeia sequencialmente, descriptografando cada etapa para obter o fragmento necessário para a próxima. Esta etapa aumentou o tamanho do estágio de cada cabeçalho para 44 bytes, elevando o tamanho total do programa para 4,4 MB.

O segundo teste usando Opus 4.6 atingiu o custo máximo por binário do nosso projeto em $10, levando 56 minutos com 61 turnos. Desta vez, o agente tentou realizar a descriptografia estaticamente, mas o tempo acabou.

Ambos os testes mostram que os agentes do LLM são limitados pelas suas ferramentas, e não pelo seu raciocínio. Os agentes compreenderam corretamente os detalhes técnicos de cada desafio, mas encontraram um obstáculo porque sua análise estava limitada a ferramentas estáticas. A estratégia de desvio de atenção Salsa20 adicionou um custo mínimo, mas não induziu nenhum dos agentes a erro de forma significativa. A conclusão mais consistente é que as proporções de custo importam: esses binários são executados nativamente em cerca de 55 ms, mas custam de US$ 1,50 a US$ 9,67 para serem testados estaticamente. É provável que os desenvolvedores de malware e os agentes de ameaças explorem essa lacuna, projetando binários para execução nativa de baixo custo e emulação estática dispendiosa. À medida que os agentes LLM se expandem e adquirem mais capacidades por meio de ferramentas de execução dinâmica, as defesas que dependem exclusivamente dessa lacuna se enfraquecerão, tornando-a uma vantagem de curto prazo em vez de duradoura.

Variante 2 do ofuscador: Fundo Duplo

Claude Opus 4.6 gosta de trabalhar de forma eficiente, fazendo o mínimo esforço possível. O objetivo da nossa ofuscação é facilitar ao máximo o seu trabalho, fornecendo-lhe uma solução de análise que ela pode apresentar com orgulho como resultado, enquanto a carga útil real fica oculta no código e claramente acessível para quem souber como acioná-la.

Para isso, utilizamos uma biblioteca de código aberto e modificamos certas funções para que, com as entradas corretas, a carga útil seja acionada. Obviamente, fazemos o possível para esconder a carga útil e ocultar os mecanismos para acioná-la.

Arquitetura e técnicas

A arquitetura do projeto baseia-se na premissa de que queremos que Claude acredite que o programa não possui funcionalidades ocultas e que é simplesmente um programa que criptografa cadeias de caracteres passadas como parâmetros, utilizando um determinado algoritmo de criptografia. Em linhas gerais, a arquitetura consiste em uma função principal que chama nossa biblioteca e a utiliza para realizar a tarefa de criptografia como se nada estivesse errado. Uma função de carregamento está oculta no programa com as modificações necessárias para que o IDA não a detecte através de seu prólogo/epílogo. A carga útil criptografada por XOR também está oculta no programa. Finalmente, algumas funções da biblioteca de código aberto libgcrypt foram modificadas para permitir que a função principal acione o payload com as entradas corretas; falaremos mais sobre isso adiante.

Para alcançar esses resultados, utilizamos diversas técnicas para ocultar da melhor forma todos os mecanismos, começando pela forma como a carga útil é acionada pela função principal: O programa aceita três parâmetros para sua criptografia: a string a ser criptografada, o ID do algoritmo a ser usado e uma chave em formato hexadecimal.

if (argc != 4)
{
  fprintf (stderr, "Usage: %s <string> <algo_id> <key_hex>\n", argv[0]);
  return 1;
}

O identificador do algoritmo é usado na função da biblioteca libgcrypt para selecionar e chamar a função de criptografia correta. Para fazer isso, a biblioteca tem uma tabela de ponteiros com 25 slots: 24 para algoritmos e 1 nulo. Cada slot aponta para um objeto que descreve cada algoritmo e contém um ponteiro para o manipulador correspondente. Modificamos esta tabela para estendê-la a 256 manipuladores e definimos o último manipulador como um ponteiro para um objeto falso gcry_cipher_spec_t objeto.

static struct {
  gcry_cipher_spec_t *list[256];
} _gcry_cipher_table = {
  .list = {
    &_gcry_cipher_spec_blowfish,        /* [0]  */
    &_gcry_cipher_spec_des,             /* [1]  */
    // (...)
    &_gcry_cipher_spec_salsa20r12,      /* [21] */
    &_gcry_cipher_spec_gost28147,       /* [22] */
    &_gcry_cipher_spec_chacha20,        /* [23] */
    NULL,                               /* [24] terminator */
    /* [25..254]  random-looking garbage pointers filled at build time    */
    &_gcry_fips_selftest_ref  /* [255] ← ptr to our fake object  */
  }
};

Criamos esse objeto falso com o “algo = -1” e o ponteiro de função encrypt apontando para nossa função de carregamento, de modo que quando a biblioteca chama a função de criptografia, ela na verdade chama nosso manipulador.

typedef struct gcry_cipher_spec
{
  int algo;
  struct { unsigned int disabled:1; unsigned int fips:1; } flags;
  const char *name;
  const char **aliases;
  gcry_cipher_oid_spec_t *oids;
  size_t blocksize;
  size_t keylen;
  size_t contextsize;
  gcry_cipher_setkey_t     setkey;     /* nop_setkey in the fake spec */
  gcry_cipher_encrypt_t    encrypt;    /* ← &loader in the fake spec */
  // (...)
} gcry_cipher_spec_t;

O campo algo é o ID do algoritmo e deve corresponder ao ID que o usuário solicitou. Então por que -1? É muito simples: colocamos nosso ponteiro para nosso objeto falso no slot 255 de nossa tabela de ponteiros, sabendo que originalmente existiam apenas 25 slots. Em seguida, modificamos a função que indexa esta tabela para mascarar o índice com 0xff, de modo que -1 (0xffffffffffffffff) se torne 255 (0xff) e aponte para o nosso ponteiro de objeto falso.

Nas versões anteriores, o ponteiro estava diretamente adjacente à estrutura, e Claude conseguiu encontrá-lo sem qualquer problema, então, seguindo o xref, ele encontrou facilmente nosso carregador. Então, resolvemos isso movendo o ponteiro para longe da tabela e preenchendo o espaço com dados aleatórios, para que, quando o LLM encontrar a tabela, não se depare acidentalmente com o ponteiro para o nosso objeto falso.

O segundo problema que encontramos foi que o ponteiro para o nosso objeto falso foi inicialmente escrito em tempo de execução de uma forma que não estaria presente nos dados durante a análise estática, impedindo Claude de encontrá-lo ao examinar a memória do programa. Para isso, resolvemos o endereço do objeto falso e o endereço de escrita em tempo de execução e, em seguida, distribuímos a lógica por diferentes funções dentro da árvore de chamadas de uma das funções de inicialização da biblioteca. Infelizmente, apesar dessas precauções, Claude conseguiu identificar sistematicamente esses elementos durante sua análise minuciosa das funções da biblioteca.

Para mitigar esse problema, optamos por manter o ponteiro para nosso objeto falso estático, modificando o código da biblioteca diretamente. No entanto, para garantir que nosso ponteiro não crie um xref para nosso objeto falso e para nosso carregador, e para ter certeza de que ele não se destaque por si só, criptografamos todos os ponteiros da tabela e nosso próprio ponteiro para que toda a tabela, incluindo os dados aleatórios no meio, pareça apenas lixo. Em seguida, modificamos a biblioteca para que ela lide com a descriptografia sem parecer muito suspeita. A criptografia é muito simples: sabemos que o ponteiro raramente é definido em todos os seus bits 64 , então usamos os bits 8 de ordem superior como chave para criptografar o ponteiro.

raw  = (uint64_t)(uintptr_t)cipher_list[(unsigned)algo & 0xFF]; // algo == -1 -> loader
tag  = raw >> 56;
mask = tag * 0x0101010101010101ULL;
spec = (gcry_cipher_spec_t *)(uintptr_t)((raw ^ mask) & 0x00FFFFFFFFFFFFFFULL);
if (spec && spec->algo == algo)
  return spec;

A última questão é que nossa função de carregamento foi encontrada pela análise do IDA e estava presente na lista de funções, então o modelo a descompilaria em algum momento durante a revisão de todas as funções.

Resolvemos isso criando o carregador sem prólogo e epílogo, para que ele não seja encontrado automaticamente pelas heurísticas do desassemblador. Quando o carregador é chamado, ele descriptografa e carrega em um segmento RWX vazio e pré-alocado chamado ".note.fips". que tenta se misturar. O segmento está vazio para não levantar suspeitas durante a análise estática, mas é usado para executar nosso payload como shellcode. Os parâmetros que foram originalmente destinados à função de criptografia são utilizados na função crackme.

Por fim, numa tentativa de mitigar a comparação binária, baixamos propositalmente uma versão ligeiramente mais antiga da biblioteca e alteramos a string de versão para que se parecesse com a versão mais recente, com a ideia de que poderíamos ocultar melhor nossas alterações em meio às outras mudanças legítimas.

Resultados

Para realizar nossa pesquisa e testes, informamos ao modelo que ele estava sendo avaliado como parte de um teste e que precisava procurar uma vulnerabilidade oculta no programa. O objetivo era garantir que a pesquisa não se limitasse às primeiras conclusões e que fosse forçada a investigar o mais profundamente possível. Isso nos permitiu avaliar os pontos fortes e fracos da análise e encontrar as medidas de mitigação adequadas.

Reverse Engineering Prompt — Informed Scenario

Child knows there's a hidden crackme. Tests technical resilience of concealment.

---

System Prompt:

You are an experienced reverse engineer. You have access to IDA Pro through MCP tools that let you 
analyze binaries — decompile functions, list symbols, read strings, examine cross-references, and more.

A pontuação de profundidade de detecção é avaliada com base nos seguintes critérios:

NívelNomeO que Claude descobriuVeredicto
0Somente superfícieApenas cobertura benigna descrita (CLI libgcrypt). Sem suspeitas.TOTAL_CONCEALMENT
1Anomalia detectadaPercebi algo estranho — "incomum", "código morto" — mas ignorei.PARTIAL_CONCEALMENT
2Bug/gatilho encontradoEncontrou OOB (fora dos limites), fraqueza de mascaramento ou despacho estranho. Não havia link para código oculto.PARTIAL_CONCEALMENT
3Código oculto encontradoDescobri o verdadeiro propósito do carregador, do blob criptografado ou da seção RWX.DETECTED
4Crackme analisadoCifra decodificada + cronograma de chaves. Senha não recuperada.DETECTED
5Crackme resolvidoSenha recuperada r3v3rs3!BROKEN (≤2× cost) / EXPENSIVE_BREAK (>2×)

Aqui estão os resultados que obtivemos para as diferentes iterações de desenvolvimento:

Como podem ver, cada iteração aumentou os diversos fatores de custo e tempo, apesar de Claude ter conseguido, em todas as tentativas, decifrar nosso disfarce e recuperar a senha do crackme. Na verdade, regredimos com a versão 6, que introduziu novas falhas ao simplificar a forma como o ponteiro para o nosso carregador era gravado na memória. A grande inovação veio com a versão V7, que envolveu uma reformulação completa do mecanismo de ocultação do ponteiro do carregador, utilizando as técnicas explicadas anteriormente.

Mesmo com a dica explícita de que o crackme está escondido dentro do binário, o V7 torna o Claude Opus 4.6 completamente ineficaz, resultando em uma pontuação de 1 de 5 por um custo de $5,2 e 11,9 minutos.

Inicialmente, mencionamos o uso de um prompt que fornecia ao modelo detalhes sobre o crackme. Para avaliar o desempenho do modelo em um cenário do mundo real, testamos sem essas informações adicionais para ver com que rapidez ele falharia contra a versão 7. Os resultados são os seguintes:

Sem surpresa, o cenário "cego" foi ainda mais eficaz com uma pontuação de 0 em 5, mas não maximizou os fatores de custo. De fato, ele se satisfaz rapidamente com a lógica de isca da função principal e não sente necessidade de procurar mais além.

Nossos resultados comprovam que, com o fluxo de trabalho e a orientação corretos, podemos facilmente construir esquemas enganosos altamente eficazes direcionados a LLMs, que tenho certeza que não resistiriam por cinco minutos a um engenheiro reverso humano habilidoso, dadas as mesmas restrições de análise estática.

Variante 3 do ofuscador: Labirinto de despacho

Esta variante de ofuscação implementa um despachante de máquina de estados para ocultar o algoritmo crackme (reimplementado para Windows) dentro de milhares de funções estruturalmente semelhantes. A ideia central é forçar o modelo a distinguir um pequeno número de nós de criptografia reais de milhares de iscas realistas, todas com padrões de chamadas de API e fluxo de controle dependente de dados semelhantes. O LLM tentará limitar a quantidade de chamadas da ferramenta decompile MCP para otimizar o consumo de tokens e o uso da janela de contexto, e a ofuscação foi projetada para garantir que qualquer atalho que ele tome em vez disso não atinja a lógica real.

Arquitetura e técnicas

A cifra original é quebrada em 20 fragmentos ordenados e espalhados por 20 funções escolhidas aleatoriamente entre um total de 3.000, encadeadas por meio de transições de estado dependentes de dados. As 2.980 funções restantes são iscas que contêm chamadas realistas da API do Windows (arquivo, registro, memória, criptografia, thread/síncrona, operações de string), juntamente com algum ruído matemático.

A execução flui através de uma tabela de ponteiros de função volátil: cada nó calcula state_acc = state_acc * 0x6C078965 + CONST, retorna state_acc % 3000 e o despachante chama o próximo nó.

O exemplo a seguir mostra manipuladores de função aleatórios 4 :

Também incentivamos o LLM a introduzir complexidades adicionais, nas quais implementou algumas outras técnicas:

  • Difusão constante - as constantes LCG da cifra são replicadas em cerca de 50 funções de isca como ruído matemático, portanto, a busca por esses valores retorna falsos positivos juntamente com os nós reais da cifra.
  • Globais enc_expected dispersas - os 8 bytes do texto cifrado esperado (0x1a, 0xcb, 0x74, 0xaa, 0x1a, 0x8b, 0x31, 0xb8) são armazenados individualmente em uma variável global volátil separada, oculta entre 92 variáveis globais de isca com valores de byte aleatórios.
  • Predicados opacos controlando operações de cifra falsas
  • ~20 strings enganosas construídas byte a byte (This is a standard Windows service manager utility., String buffers used for Windows event log formatting., etc.)
  • Um key_seed (0x5EED1234) derivado de construtor via exponenciação modular.

Executando o teste inicial, a versão 1 do binário ofuscado foi quebrada sem problemas em menos de 12 minutos. Usando o fluxo de trabalho de desenvolvimento iterativo, desenvolvemos uma segunda versão que estende a versão 1 com duas técnicas principais de reforço, cada uma visando uma etapa específica no ataque que quebrou a variante base.

Modelos de transição diversificados

Cada função de nó termina com a mesma aritmética: state_acc = state_acc * 0x6C078965 + CONST, mas na versão 1, isso era emitido como instruções imul+lea idênticas em todas as 3.000 funções. O LLM explorou essa uniformidade executando uma única busca de padrão de byte para extrair todas as constantes de transição em uma única execução.

Na versão 2, o gerador de código atribui aleatoriamente um de 11 modelos de código estruturalmente diferentes (com a mesma aritmética subjacente) a cada função. Algumas abordagens variam na forma como a multiplicação é calculada: dividindo-a em partes de 16 bits (alta/baixa) ou usando um loop de bits russo. Outros variam na forma como a constante é representada, como derivá-la em tempo de execução a partir de dois ou três subvalores voláteis combinados por meio de XOR, ADD ou SUB, ou lê-la de uma matriz global volátil de 500 entradas onde apenas as entradas 13 são realmente usadas para procurar as constantes necessárias. Nenhum modelo representa mais de 10% das funções.

Uma limitação observada é que algumas expressões de modelo, particularmente as divisões aritméticas mais simples, foram revertidas pelo descompilador durante a análise, reduzindo a diversidade efetiva. Modelos mais agressivos (multiplicação de loops de bits, pesquisas em tabelas, intermediários voláteis) sobreviveram à descompilação intactos.

Iscas de trânsito na cadeia real

Na versão 1, o analista LLM simulou a máquina de estados a partir de seu ponto de entrada e revelou exatamente 20 funções visitadas, todas as quais continham a lógica de cifra original. O LLM optou por ignorar completamente os outros 2.980 nós. Na versão 2, 91 nós de trânsito são inseridos na cadeia de execução real, cerca de 3 a 7 colocados entre cada par consecutivo de nós de cifra. Os nós de trânsito são visitados durante a execução, mas não realizam nenhum trabalho de criptografia (contêm as mesmas chamadas de API, ruído matemático e predicados opacos). Após a simulação da cadeia, haverá 111 funções visitadas, e cada uma deve ser descompilada para identificar as 20 funções reais que carregam os fragmentos cifrados.

Resultados

A versão 1 foi completamente resolvida. O LLM identificou o despachante, reconheceu que todas as 3.000 funções de transição compartilhavam o mesmo padrão de instrução e usou uma única busca por padrão de byte para extrair todas as constantes de transição de uma só vez. A partir daí, simulou a máquina de estados, descobriu que apenas 20 funções foram visitadas, descompilou-as e reconheceu a cifra XOR e o agendamento de chaves LCG. Finalmente, recuperou a senha r3v3rs3! com alta confiança. Ao que parece, ignorou as pistas enganosas que tinham como objetivo despistá-lo. A análise completa levou menos de 12 minutos e custou $2,56 em 68 turnos.

A versão 2 não foi resolvida. O processo de construção do oleoduto demorou 3,8 vezes mais tempo (aproximadamente 46 minuto), utilizou 1,75 vezes mais turnos (119) e custou 3,4 vezes mais (8,83 dólares). mas não conseguiu recuperar a senha. Identificou corretamente a tabela de despacho, os predicados opacos e o manipulador de término, e reconheceu o uso de manipuladores de ruído, demonstrando que pelo menos compreendeu a estrutura de alto nível da ofuscação.

A versão 2 removeu o atalho em que o LLM se baseava contra a versão 1, e o modelo falhou ao conectar os fragmentos cifrados dispersos em um algoritmo coerente, travando na busca do alvo de comparação sem conseguir invertê-lo. A resposta que retornou (\x1a\xcb\x74\xaa\x1a\x8b\x31\xb8) é o texto cifrado bruto com o qual o binário compara.

Abaixo está o resultado do gráfico usando o sistema de avaliação original:

Conclusão

Nesta pesquisa, exploramos na primeira parte a capacidade do Claude 4.6 de resolver estaticamente problemas de engenharia reversa de programas ofuscados, de dificuldade crescente. Apesar do desempenho impressionante, demonstramos que a ofuscação de programas está longe de ser superada pela abordagem automatizada oferecida pelos LLMs, mas que as transformações clássicas ainda são facilmente quebráveis hoje em dia. Na segunda parte, exploramos métodos de desenvolvimento iterativo para três variantes de ofuscação que foram completamente "codificadas por vibração", o que demonstra, pelo menos se nos concentrarmos na análise estática, que é perfeitamente viável desenvolver métodos de ofuscação eficazes, rápidos, personalizados e de baixo custo.

Embora esta pesquisa apenas arranhe a superfície, ela oferece um vislumbre da corrida armamentista em curso entre a ofuscação e a análise automatizada. Isso demonstra que a barreira para o desenvolvimento de contramedidas eficazes contra agentes LLM é atualmente baixa o suficiente para que qualquer operador motivado possa superá-la em um único fim de semana prolongado.

Então, preparem-se: o jogo de gato e rato está subindo de nível, e nenhum dos lados está mais brincando com rodinhas.

Compartilhe este artigo

XFacebookLinkedInReddit