Scrambler: Mixed Boolean Arithmetic Obfuscation Tool Using E-graph and Equality Expansion

Das Paper stellt Scrambler vor, ein auf E-Graphen und Gleichheitsexpansion basierendes Werkzeug zur Verschleierung gemischter boolescher Arithmetik, das durch konstruktionsbedingte Äquivalenzsicherung effizient komplexe und vielfältige Ausdrücke generiert und dabei bestehende Tools in Ausdrucksstärke und Komplexität übertrifft.

Das Wesentliche

Stell dir vor, du hast ein einfaches, gut lesbares Rezept für einen Kuchen: „Nimm 2 Eier und 100g Mehl." Das ist für jeden verständlich.

Jetzt willst du dieses Rezept so verschlüsseln, dass ein Spion (ein Hacker), der es findet, völlig verwirrt ist und nicht mehr versteht, was eigentlich drin steht. Aber: Wenn jemand das verschlüsselte Rezept befolgt, muss am Ende exakt derselbe Kuchen herauskommen.

Das ist das Ziel von Programm-Verschleierung (Obfuscation). Die Autoren dieses Papiers haben ein neues Werkzeug namens Scrambler entwickelt, um genau das zu tun – und zwar viel besser als alles, was es bisher gab.

Hier ist die Erklärung, wie Scrambler funktioniert, mit ein paar einfachen Vergleichen:

1. Das Problem: Die alten Werkzeuge waren wie starre Baupläne

Bisherige Werkzeuge, um Programme zu verschlüsseln, arbeiteten wie ein Handwerker mit nur drei festen Schablonen.

• Sie hatten eine Liste von vordefinierten Regeln (z. B. „Ersetze 'A plus B' durch 'A mal B minus etwas'").
• Wenn sie komplizierte Formeln brauchten, mussten sie manuell riesige Tabellen (Wahrheitstabellen) erstellen.
• Das Ergebnis war oft vorhersehbar, nicht sehr komplex und die Werkzeuge brauchten ewig, um zu prüfen, ob das Ergebnis noch korrekt ist (wie ein Lehrer, der jede einzelne Matheaufgabe nachrechnet).

2. Die Lösung: Scrambler und die „E-Graph"-Landkarte

Stell dir Scrambler nicht als einen Handwerker vor, sondern als einen intelligenten Architekten mit einer magischen Landkarte.

• Der E-Graph (Die Landkarte):
  Normalerweise zeichnet man einen Baum für eine Formel. Scrambler nutzt aber eine „E-Graph"-Struktur. Stell dir das wie eine U-Bahn-Karte vor, bei der verschiedene Stationen (Ausdrücke) durch unsichtbare Tunnel verbunden sind, weil sie dasselbe Ziel haben.

  • Beispiel: Die Station „2 + 2" und die Station „4" sind auf dieser Karte direkt miteinander verbunden. Sie sehen unterschiedlich aus, bedeuten aber dasselbe.
  • Das bedeutet: Scrambler muss nicht raten, ob etwas gleich ist. Die Karte sagt ihm sofort: „Hey, diese beiden Ausdrücke sind identisch!"

• Equality Expansion (Die Gleichheits-Explosion):
  Früher suchten Computer nach dem einfachsten Weg (wie beim Navigationssystem, das die kürzeste Strecke sucht).
  Scrambler macht das Gegenteil: Es nutzt eine Technik namens „Equality Expansion".

  • Die Analogie: Stell dir vor, du hast einen kleinen Knetklumpen (deine einfache Formel). Ein normales Werkzeug würde versuchen, ihn glatt zu streichen. Scrambler hingegen drückt immer wieder neue Knete an, formt sie um, fügt Verzierungen hinzu, aber niemals ändert er die Gesamtmasse oder den Geschmack.
  • Es nimmt eine einfache Regel (z. B. „x + y ist das Gleiche wie (x OR y) + (x AND y)") und wendet sie immer wieder an, bis die Formel riesig und unkenntlich wird.
  • Das Ziel ist nicht die Einfachheit, sondern die maximale Komplexität, solange die Bedeutung gleich bleibt.

3. Warum ist Scrambler so cool?

Das Papier zeigt, dass Scrambler in drei Bereichen glänzt:

1. Riesige Ausdrücke: Während andere Werkzeuge Formeln mit vielleicht 200 Bausteinen erzeugen, kann Scrambler Formeln mit 34.000+ Bausteinen erstellen. Das ist wie der Unterschied zwischen einem kleinen Haus und einem Wolkenkratzer.
2. Kein Nachprüfen nötig: Bei alten Werkzeugen musste man am Ende einen riesigen Computer (einen SMT-Löser) fragen: „Ist das Ergebnis wirklich noch dasselbe?" Das dauerte ewig.
   • Bei Scrambler ist das Ergebnis garantiert korrekt, weil es aus der „Landkarte" (dem E-Graph) gebaut wurde. Es ist wie ein Puzzle: Wenn du die Teile nur nach den Regeln der Landkarte zusammenfügst, kann das Bild unmöglich falsch sein. Du musst es nicht mehr kontrollieren.
3. Vielfalt: Es kann verschiedene Arten von mathematischen Tricks (linear, polynomiell, nicht-polynomiell) mischen, was für Hacker extrem schwer zu knacken ist.

4. Das Ergebnis im Test

Die Autoren haben Scrambler gegen die besten alten Werkzeuge getestet.

• Ergebnis: Scrambler erzeugte Formeln, die um ein Vielfaches komplexer waren (gemessen an der Anzahl der Operatoren und der „Unordnung" der Formel).
• Geschwindigkeit: Es war schneller, weil es keine Zeit mit dem ständigen Nachprüfen verbrachte.

Fazit

Scrambler ist wie ein genialer Zauberer, der ein einfaches mathematisches Rätsel in einen riesigen, undurchdringlichen Labyrinth verwandelt, ohne dabei jemals die Lösung zu verändern.

• Alte Werkzeuge: Versuchen, das Rätsel mit starren Schablonen zu verstecken.
• Scrambler: Nutzt eine intelligente Landkarte, um das Rätsel immer weiter zu verzweigen, bis es für jeden, der es nicht kennt, unmöglich erscheint, den Ursprung zu finden.

Das ist ein großer Schritt, um Software sicherer vor Reverse-Engineering (dem Auslesen von geschütztem Code) zu machen.

Technische Zusammenfassung

Hier ist eine detaillierte technische Zusammenfassung des Papers „SCRAMBLER: MIXED BOOLEAN ARITHMETIC OBFUSCATION TOOL USING E-GRAPH AND EQUALITY EXPANSION" auf Deutsch:

1. Problemstellung

Program-Obfuskation zielt darauf ab, Code funktional äquivalent, aber für menschliche Leser und Reverse-Engineering-Tools unlesbar zu machen. Eine weit verbreitete Technik ist die Mixed Boolean-Arithmetic (MBA)-Obfuskation, bei der einfache arithmetische Ausdrücke durch Mischen von booleschen und arithmetischen Operatoren (z. B. x + y zu (x ∨ y) + (x ∧ y)) in komplexe, semantisch äquivalente Ausdrücke umgewandelt werden.

Bestehende MBA-Obfuskations-Tools (wie MBA Obfuscator, NeuReduce oder Loki) weisen jedoch erhebliche Einschränkungen auf:

• Begrenzte Diversität: Sie verlassen sich auf vordefinierte Regeln, Wahrheitstabellen oder matrixbasierte Darstellungen, was die Vielfalt der generierbaren Ausdrücke einschränkt.
• Skalierbarkeit und Overhead: Die Generierung komplexer Ausdrücke erfordert oft manuelle Konfiguration und verursacht hohe Laufzeitkosten.
• Verifikationsaufwand: Die meisten Tools benötigen externe SMT-Solver (wie Z3), um die semantische Äquivalenz der generierten Ausdrücke zu prüfen, was bei großen oder komplexen Ausdrücken zu Performance-Problemen führt.
• Eingeschränkte Operatoren: Viele Tools unterstützen nur eine begrenzte Menge an Operatoren.

2. Methodik

Das Paper stellt Scrambler vor, ein neues MBA-Obfuskations-Tool, das auf zwei Kernkonzepten basiert: E-Graphs (Äquivalenzgraphen) und Equality Expansion (Äquivalenzerweiterung).

• E-Graphs: Im Gegensatz zu herkömmlichen Syntaxbäumen (ASTs) sind E-Graphs eine Graph-Datenstruktur, die Äquivalenzklassen (e-classes) verwendet. Mehrere Ausdrücke, die semantisch identisch sind, werden in derselben e-class gespeichert. Dies ermöglicht die gleichzeitige Repräsentation vieler äquivalenter Ausdrücke ohne Redundanz.
• Equality Expansion: Während die klassische Equality Saturation darauf abzielt, den einfachsten Ausdruck zu finden, adaptiert Scrambler diesen Ansatz für die Komplexitätssteigerung.
  • Der Algorithmus nutzt vom Benutzer bereitgestellte Umschreibungsregeln (Rewrite Rules).
  • Anstatt zu terminieren, sobald eine Lösung gefunden ist, sucht der Algorithmus nach Ausdrücken, die eine bestimmte Terminierungsbedingung erfüllen (z. B. eine AST-Größe von über 1000 Knoten).
  • Durch die Anwendung dieser Regeln auf den E-Graphen werden komplexe Ausdrücke aus einfachen Eingaben generiert.
• Implementierung: Scrambler ist in Rust unter Verwendung des egg-Frameworks implementiert. Es nimmt als Eingabe eine Regelmenge, einen zu obfuszierenden Ausdruck und eine Terminierungsbedingung (Größe, Zeit, Suchbedingungen) entgegen.

3. Wichtige Beiträge

• Neuer Ansatz zur Generierung: Scrambler ist das erste Tool, das Equality Expansion in Kombination mit E-Graphs nutzt, um gezielt hochkomplexe MBA-Ausdrücke zu erzeugen, anstatt nur einfache Umwandlungen vorzunehmen.
• Garantierte Äquivalenz ohne externe Verifikation: Da der E-Graph und die Umschreibungsregeln semantische Äquivalenz durch Konstruktion garantieren, ist eine separate Verifikation durch SMT-Solver nicht mehr notwendig. Dies beschleunigt den Generierungsprozess erheblich.
• Erhöhte Ausdrucksstärke: Das Tool kann lineare, polynomiale und nicht-polynomiale MBA-Ausdrücke generieren und unterstützt eine breitere Palette von Operatoren als bestehende Lösungen.
• Flexibilität: Die Komplexität des Ergebnisses kann durch Anpassung der Regeln und der Terminierungskriterien (z. B. Knotenlimit, Zeitlimit) gesteuert werden.

4. Ergebnisse

In einem Vergleichsexperiment wurden Scrambler mit etablierten Tools (MBA Obfuscator, NeuReduce, Loki) hinsichtlich verschiedener Metriken verglichen: AST-Größe, Anzahl der Variablen/Konstanten/Operatoren, MBA-Alternation (Komplexitätsmetrik) und Entropie.

• Komplexität: Scrambler generierte deutlich komplexere Ausdrücke.
  • AST-Größe: Scrambler erreichte einen Durchschnitt von 34.786,77 Knoten, während Loki bei ~216 und MBA Obfuscator bei ~235 lag.
  • Operatoren: Scrambler nutzte durchschnittlich 23.373 Operatoren pro Ausdruck, im Vergleich zu ~142 bei Loki und ~136 bei MBA Obfuscator.
  • MBA-Alternation: Mit einem Wert von 6.387,58 übertraf Scrambler die anderen Tools (Loki: 38,26; MBA Obfuscator: 31,83) um Größenordnungen.
• Effizienz: Trotz der enormen Komplexität wurde die Generierung innerhalb von 2 Sekunden pro Ausdruck abgeschlossen (bei einem Knotenlimit von 3.000 und 14 Regeln).
• Robustheit: Die Experimente zeigten, dass die Komplexität mit der Anzahl der angewandten Regeln steigt, solange die Speicherressourcen ausreichen.

5. Bedeutung und Ausblick

Die Arbeit demonstriert, dass E-Graphs und Equality Expansion eine leistungsstarke Grundlage für die nächste Generation von Obfuskations-Tools bilden.

• Sicherheit: Durch die Erzeugung von Ausdrücken mit extrem hoher struktureller Komplexität wird die Reverse-Engineering-Analyse erheblich erschwert.
• Effizienz: Der Wegfall der SMT-Verifikation macht den Prozess skalierbarer.
• Herausforderungen: Die Korrektheit der angewandten Umschreibungsregeln muss weiterhin sorgfältig validiert werden, da fehlerhafte Regeln zu inkorrekten Ergebnissen führen können. Zudem hängt die Leistung von der Auswahl der Regeln und den verfügbaren Ressourcen ab.

Zusammenfassend bietet Scrambler einen signifikanten Fortschritt in der MBA-Obfuskation, indem es die Grenzen der bisherigen Tools in Bezug auf Ausdrucksvielfalt, Komplexität und Generierungsgeschwindigkeit überwindet.