K0NSULT // ai-truth/ipIII
k0nsult.cloud / ai-truth / ipIII / capability / reverse

Reverse Engineering & Deobfuskacja binarek — warstwa evidence-first

ipIII nie zastępuje warsztatu reverse-engineeringu. ipIII spina jego wyniki w łańcuch dowodowy: custody próbki, import findingów, rejestr IOC/YARA, mapowanie MITRE ATT&CK, log kroków deobfuskacji, evidence-package i legal triggers. Analityk pracuje w Ghidrze, IDA, radare2; ipIII pilnuje, żeby każdy wynik miał hash, źródło, klasyfikację i ślad audytowy.

Pozycjonowanie (bez overclaim). ipIII nie jest disassemblerem, deobfuscatorem, debuggerem ani sandboxem. ipIII jest warstwą evidence-first nad warsztatem RE analityka (Ghidra, IDA Pro, radare2/rizin, Binary Ninja, x64dbg, YARA, CAPA, FLOSS, PEiD/DIE). Zakres pracy: wyłącznie defensywny — analiza malware, incident response, vuln research — i wyłącznie po podpisanym RoE. Zero instrukcji ofensywnych, zero payloadów, zero technik „jak złamać zabezpieczenie". To warstwa analizy i dowodu, nie atak. Strona nie jest certyfikacją, nie deklaruje „100% bezpieczny" ani „gotowy produkcyjnie bankowy" — patrz sekcja końcowa.
Twoje narzędzia RE znajdują; ipIII zamienia to w dowód, custody, klasyfikację i raport.

Disassembler pokaże funkcje. YARA dopasuje regułę. CAPA opisze zdolności. Ale to, czy z tego powstanie dowodliwy artefakt — z hashem próbki, chain-of-custody, klasyfikacją TTP i pakietem dla organu — jest zadaniem warstwy evidence-first. ipIII przyjmuje findingi z narzędzi, nadaje im status ≤ dowód i produkuje evidence-package.

ŁAŃCUCH: próbka+hashtriageanaliza statycznadeobfuskacja+artefaktanaliza dynamicznaMITRE ATT&CKevidence-packagelegal triggers

Czym ipIII JEST, a czym NIE JEST

ipIII NIE JEST

  • disassemblerem — nie tłumaczy binarki na asembler (to Ghidra / IDA / radare2 / Binary Ninja).
  • deobfuscatorem — nie rozpakowuje automatycznie packerów ani nie odwraca XOR/CFF (to praca analityka + narzędzia).
  • debuggerem — nie uruchamia i nie krokuje kodu (to x64dbg / GDB / WinDbg).
  • sandboxem — nie detonuje próbki i nie obserwuje jej zachowania (to CAPEv2 / Cuckoo / dedykowane środowisko).
  • skanerem AV/silnikiem detekcji — nie wydaje werdyktu „malware/clean".

ipIII JEST

  • orkiestratorem dowodów nad wynikami RE — custody, import, klasyfikacja, raport.
  • rejestrem custody próbki — sha256/md5, chain-of-custody, kto/kiedy/skąd.
  • importerem findingów z YARA, radare2/rizin JSON, generic RE findings.
  • rejestrem IOC / dopasowań YARA powiązanym z incydentem.
  • mapowaniem na MITRE ATT&CK (TTP incydentu) i logiem kroków deobfuskacji (technika → artefakt → hash).
  • generatorem evidence-package (PDF/JSON + hash) i legal triggers (NIS2/DORA dla incydentu malware).

Przepływ — od próbki do dowodu

Każdy krok produkuje artefakt z hashem i wpisem w chain-of-custody. ipIII nie wykonuje kroków RE za analityka — rejestruje ich wynik jako dowód.

1 próbka
hash sha256/md5 + custody
2 triage
typ pliku, packer (PEiD/DIE)
3 analiza statyczna
strings / imports / YARA / CAPA
4 deobfuskacja
packing/XOR/base64/CFF → artefakt rozpakowany + hash
5 analiza dynamiczna
behavior, IOC
6 MITRE ATT&CK
mapowanie TTP
7 evidence-package
PDF/JSON + hash
8 legal triggers
NIS2/DORA (jeśli incydent)
#KrokKto wykonujeCo ipIII rejestruje jako dowód
1Próbkaanalityk / IRsha256 + md5, rozmiar, źródło, chain-of-custody (kto/kiedy/skąd), status TLP
2TriagePEiD / DIE / filetyp pliku, wykryty packer/compiler, entropia — jako finding type:obfuscation
3Analiza statycznaGhidra / IDA / radare2 / YARA / CAPA / FLOSSimport findingów (strings, imports, dopasowania YARA, zdolności CAPA) → incydent + evidence (hash)
4Deobfuskacjaanalityk + narzędzia RElog kroków: technika (packing/XOR/base64/control-flow flattening) → artefakt rozpakowany + hash + custody
5Analiza dynamicznasandbox / debugger (poza ipIII)zaobserwowane zachowanie i IOC (C2, mutex, pliki, klucze rejestru) → rejestr IOC
6Mapowanie ATT&CKanalityk (biblioteka ipIII)TTP incydentu /incidents/:id/ttp
7Evidence-packageipIIIPDF/JSON: manifest + wszystkie hashe + chain-of-custody + package_sha256
8Legal triggersipIII (decision-support)mapowanie na NIS2 (24h/72h) / DORA art.19 z zegarami — jeśli zdarzenie kwalifikuje się jako incydent

Co jest LIVE, a co ROADMAP

Zgodnie z regułą §16: bez kodu + testu + endpointu = nie LIVE. Warstwa dowodowa jest wspólna z orchestratorem (import/custody/MITRE/evidence-package działają na żywej bazie). Automatyzacja samego RE (unpacker, sandbox, integracje headless) = ROADMAP.

ZdolnośćStatusDowód / uwaga
Import findingów RE POST /imports/reLIVE v1współdzielona warstwa importu v1 (JWT+RBAC+audit, PostgreSQL); RE-findings normalizowane do modelu incydent+evidence. Import = MEDIA_SIGNAL, nie dowód naprawy.
Custody próbki (sha256/md5 + chain-of-custody)LIVE v1evidence z hashem i śladem custody w DB (wspólne z evidence-layer).
Mapowanie MITRE ATT&CK /incidents/:id/ttpLIVE v1biblioteka TTP (Fala 1) — mapowanie incydentu na techniki.
Rejestr IOC / dopasowań YARALIVE v1IOC i YARA-match jako findingi powiązane z incydentem.
Log kroków deobfuskacji (technika → artefakt + hash)LIVE v1kroki jako evidence z custody; artefakt rozpakowany = kolejny hash w łańcuchu.
Evidence-package (PDF/JSON + hash)LIVE v1GET /reports/evidence-package/:id — manifest + package_sha256 (bezzależnościowy generator PDF).
Legal triggers (NIS2/DORA dla incydentu malware)LIVE v1/incidents/:id/legal-triggers — decision-support, terminy orientacyjne, nie porada prawna.
Automatyczny unpacker / deobfuscatorROADMAPipIII nie rozpakowuje automatycznie — to pozostaje pracą analityka + dedykowanych narzędzi.
Sandbox / detonationROADMAPbrak własnej detonacji; integracja z zewnętrznym sandboxem = specyfikacja.
Ghidra / IDA headless integrationROADMAPheadless import auto-analizy (Ghidra script / IDA) = specyfikacja.
Symbolic executionROADMAPangr/Triton — brak.
Binary diffingROADMAPBinDiff/Diaphora import = specyfikacja.
Konektor CAPA / FLOSSROADMAPdziś: import przez generic RE findings JSON; dedykowany parser CAPA/FLOSS = ROADMAP.

Formaty importu

Endpoint: POST /api/ip3/v1/imports/re (auth v1, JWT+RBAC). Trzy przyjmowane formaty. Każdy import tworzy incydent + evidence z hashem; import jest sygnałem (MEDIA_SIGNAL), nie dowodem naprawy.

YARA JSON LIVE v1

Wynik skanu YARA: reguły dopasowane do próbki, meta reguły, offsety. Mapowane na findingi type:yara-match.

radare2 / rizin JSON LIVE v1

Wyjście -j z r2/rizin: sekcje, imports, strings, funkcje. Mapowane na findingi statyczne + IOC.

generic RE findings JSON LIVE v1

Uniwersalny format dla dowolnego narzędzia RE (CAPA, FLOSS, ręczna analiza).

Schemat generic RE finding (pola):

{
  "title":       "string  — krótki opis findingu",
  "severity":    "P0 | P1 | P2 | P3",
  "type":        "malware | obfuscation | ioc | yara-match",
  "sha256":      "hash próbki lub artefaktu (chain-of-custody)",
  "technique":   "np. UPX-packing | XOR-0x5a | base64 | control-flow-flattening | T1055 (ATT&CK)",
  "description": "string  — szczegóły, kontekst, źródło"
}

Import → normalizacja severity (P0–P3) → incydent + evidence (sha256 + chain-of-custody) w PostgreSQL. Warstwa i egzekucja reguł wspólne z Connectors.

Granica etyczna i prawna

Wyłącznie po RoE, wyłącznie defensywnie. Reverse engineering w ipIII służy analizie malware, incident response i vuln research — i wyłącznie w granicach pisemnych Rules of Engagement oraz obowiązującego prawa (w tym praw autorskich do badanego oprogramowania). Strona i warstwa nie zawierają payloadów, exploitów, technik obchodzenia zabezpieczeń ani instrukcji „jak coś złamać". Rejestrujemy dowód analizy, nie produkujemy narzędzia ataku. Deobfuskacja tu = zrozumienie i udokumentowanie próbki w celu obrony, nie usuwanie zabezpieczeń cudzego produktu.
Zasada nadrzędna. ipIII nie orzeka „to malware" ani „to bezpieczne" — orzeka: oto próbka (hash), oto findingi z narzędzi RE (źródło + hash), oto ich klasyfikacja i pakiet dowodowy. Werdykt należy do analityka; ipIII gwarantuje, że jest on oparty na dowodzie z zachowanym łańcuchem custody. Status ≤ dowód (§16).

Powiązane strony

Nie jest certyfikacją. Ta strona opisuje warstwę dowodową nad cudzymi narzędziami RE. Nie jest certyfikatem bezpieczeństwa, nie deklaruje „100% bezpieczny", „nieprzenikalny" ani „gotowy produkcyjnie / bankowy". „Pokrycie dowodowe" oznacza, że wynik ma hash, źródło i ślad custody — nie oznacza kompletności analizy ani gwarancji wykrycia wszystkich zagrożeń. Elementy bez dowodu (kod+test+endpoint) są oznaczone ROADMAP.