恶意代码分析实战——反调试侦测
作者:互联网
QQ 1274510382
Wechat JNZ_aming
商业联盟 QQ群538250800
技术搞事 QQ群599020441
解决方案 QQ群152889761
加入我们 QQ群649347320
共享学习 QQ群674240731
纪年科技aming
网络安全 ,深度学习,嵌入式,机器强化,生物智能,生命科学。
叮叮叮:产品已上线 —>关注 官方-微信公众号——济南纪年信息科技有限公司
民生项目:商城加盟/娱乐交友/创业商圈/外包兼职开发-项目发布/
安全项目:态势感知防御系统/内网巡查系统
云服项目:动态扩容云主机/域名/弹性存储-数据库-云盘/API-AIeverthing
产品咨询/服务售后(同)
纸上得来终觉浅,绝知此事要躬行 !!!
寻找志同道合伙伴创业中。。。抱团滴滴aming联系方式!!
#本文为广告系统自动投放广告
# 如有侵权 删改 请速速联系我们
数据安全
本科/专科信息安全专业
计算机网络
分析 exe中的恶意代码,
我们将会学到的知识包括恶意代码常见的反调试技术,
分析其在侦测到处于调试状态时的应对策略,
并且根据我们的分析使得文件能够顺利运行。
预备知识
1.关于反调试
调试过程中经常会碰到反调试技术,
原因很简单:调试可以窥视程序的运行“秘密”,而程序作者想要通过反调试手段隐藏他们的“秘密”,
普通程序需要防止核心代码被调试逆向,
恶意代码需要隐藏自己的恶意行为防止被跟踪。
就像病毒和杀软的关系一样,为了顺利的逆向分析,有反调试手段就有对应的破解方法-反反调试。
实验环境
服务器:windows xp
辅助工具:peview,IDA,ollydbg
需要回答的问题如下:
Q1.当使用静态分析法分析这个二进制文件时,你看到了哪些字符串?
Q2.当运行这个二进制文件时会发生什么?
Q3.如何重命名它,才能使这个二进制文件正常运行?
Q4.这个恶意代码使用了哪些反调试技术?
Q5.对每一种反调试技术而言,如果恶意代码确定它运行在调试器中,它将做什么?
Q6.为什么反调试技术在这个恶意代码中能够成功?
Q7.恶意代码使用了什么域名?
Q1.当使用静态分析法分析这个二进制文件时,你看到了哪些字符串?
Peview载入查看字符串
A1:可以看到cmd,cmd.exe等
Q2.当运行这个二进制文件时会发生什么?
A2:一运行就立刻终止了
其他的问题我们需要做完整个实验才能解答。
载入IDA分析,打开imports窗口
看到了gethostbyname
这是恶意代码用于解析域名使用的
我们打开wireshark进行监听,并运行 exe
wireshark中什么都没有捕获到
回到IDA继续分析
在main开始部分,就是将一连串的字符进行了入栈的操作
按r键,16进制转换为字符
继续往下
通过strncmp进行字符串的比较
这里的地址是00401518
我们打开od跳到这个地方,看看比较的字符串是什么
然后f2下断点直接运行过来
在右下角可以看到比较的是lab16-03.exe和qgr.exe
我们把文件改名为qgr.exe再次运行还是没有捕获到相关流量
对应着IDA,我们知道var_104是恶意代码的当前名字,var_29c是待比较的字符串,往前回溯,可以看到它在比较之前传递给了sub_4011e0
再往前可知其值
其实是ocl.exe
我们在IDA中跟入sub_4011e0
调用了两次QueryPerformanceCount,这个函数用于获取执行时间。
实验步骤二
先来分析第二处的
第二次捕获的时间在var_110,第一次捕获的时间在lpPerformanceCount
两者相减的结果在var_114
00401286的cmp指令会将0x4b0与时间差结果比较,0x4b0是十进制的1200
如果时间差结果超过1200ms,则var_118被赋2,否则仍为初值1
之后是一个循环
循环中会使用var_118操作传入这个函数的字符串arg_0,也就是ocl.exe
所以我们也就知道,QueryPerformanceCounter检查会影响字符串的结果
我们看看如果在调试器中运行是怎样的
我们在00401286下断点,之后单步,看看之后的跳转是否有实现,从而明确var_118的值
可以看到跳转没有实现,那么var_118的值仍为1
如果是正常执行的话,var_118的值会是2
为了使得不论是否在调试器内,都让var_118保持为1,我们可以直接在00401292处通过nop实现
如下图操作即可
nop后的结果如下
然后将其复制到可执行文件
选择copy all
然后右键->save file
我这里修改为qgr.exe
od载入该文件,跳到00401518
可以看到此时是将文件名qgr.exe与peo.exe进行比较
那么我们就将文件名改为peo.exe,启动wireshark进行监控后再运行
从抓到的流量看出,此时会有dns请求解析域名adg.malwareanalysisbook.com
说明此时程序可以正常运行了
实验步骤三
回到IDA继续分析两个调用之间的指令的作用
结合od来看。我们跳到00401223
可以看到在IDA中显示的call $+5在od中显示的是call 00401228
单步
在右下角可以看到401128入栈
而pop指令则会将401228(目前的栈顶)出栈保存在eax中
单步之后可以看到确实如此
一旦恶意代码获取当前eip并存储到eax后
之后是将eax与0x2c相加,结果为0x401254,保存在eax
之后通过push将00401254入栈
如果在执行div ecx引发除零异常时,则会调用00401254处的指令
由于在00401229处ecx已经赋0了,所以一定会触发除零异常
而00401254处的指令就是用于删除异常处理的例程
我们知道,当进程运行在调试器中时,异常处理花费的时间更多,如果这一段时间差,恶意代码就知道自己是否运行在调试器中
接下来看看gethostbyname
地址是004015db,下断点执行过来,看看请求的域名是什么
但是可以看到恶意代码没有名字这个断点就终止了
这里的位置是004015b4
在IDA中定位到该位置
可以看到004015b4和gethostbyname是在两个分支中
再其上面看到了两次GetTickCount调用,当中出现了sub_401000的调用,跟入
看到了除零异常,这种操作和我们之前分析的是一样的
回到上层函数
两次GetTickCount结果保存在var_2b4,var_2bc
相减的结果保存在ecx
会比较ecx是否为1
如果ecx大于1,则往左边走
eax被置0,这是非法操作,所以恶意代码就会崩溃
也就是我们在od中遇到的情况
要想在调试器中能够走右边,我们可以将左边的三条指令nop掉
保存到可执行文件
将其命名为peo.exe
再次在gethostbyname下断点,执行,可是依旧报错
接着回到IDA
在调用gethostbyname前还调用了sub_401300
看到调用了两次rtdsc
rtdsc用于计算系统启动以来的时钟数
两次调用计算的差值保存在var_4
然后与7a120h进行比较,如果大于7a120h(10进制500000)则会往左调用sub_4010e0,跟入,关键部分截图如下
不难看出是实现了删除自身并终止进程的功能
所以我们可以将401380处的指令nop掉
还是同样的操作
此时再次在gethostbyname下断点,运行
可以看到成功了
Q3.如何重命名它,才能使这个二进制文件正常运行?
A3:重命名为peo.exe
Q4.这个恶意代码使用了哪些反调试技术?
使用了三种不同的反调试时钟检测技术: rdtsc、 GetTick Count和QueryPerformanceCounter
Q5.对每一种反调试技术而言,如果恶意代码确定它运行在调试器中,它将做什么?
如果QueryPerformanceCounter检查成功, 恶意代码会修改它正常运行所需的字符串;如果GetTickCount检查成功,恶意代码会产生一个导致程序崩溃的未处理异常;如果rdtsc检查成功,恶意代码将会从硬盘上删除自身。
Q6.为什么反调试技术在这个恶意代码中能够成功?
这个反调试技术检查获得成功,因为恶意代码修改SEH机制,在两个计时检查函数调用之间包含恶意代码自己的异常处理例程,这样它就可以捕获一个它处理的异常。异常在调试器内处理比在调试器外处理慢很多。
Q7.恶意代码使用了什么域名?
恶意代码使用的域名是adg.malwareanalysisbook.com。
实验报告要求
参考实验原理与相关介绍,完成实验任务,并对实验结果进行分析,完成思考题目,总结实验的心得体会,并提出实验的改进意见。
配套学习资源
1.《恶意代码分析实战》
标签:exe,恶意代码,运行,var,侦测,调试,调试器 来源: https://blog.csdn.net/qq_33608000/article/details/112505326