设为首页 - 加入收藏 黔南站长网 (http://www.0854zz.com)- 国内知名站长资讯网站,提供最新最全的站长资讯,创业经验,网站建设等!
热搜: 为什么 2018 模式 系统
当前位置: 首页 > 站长资讯 > 评论 > 正文

恶意软件反调试分析的对抗技术

发布时间:2019-01-31 15:12 所属栏目:[评论] 来源:xiaohui
导读:在本文中,我们会介绍恶意软件如何利用一个打包的Exe原始入口点来欺骗结构化异常处理程序(SEH)。 在此,我们会拿一个名为sample.exe的恶意软件样本进行具体讲解,首先将其加载到ExeInfo,进行打包。 注意入口点是28E8,此外,我们开始调试它的时候,为了

在本文中,我们会介绍恶意软件如何利用一个打包的Exe原始入口点来欺骗结构化异常处理程序(SEH)。

恶意软件反调试分析的对抗技术

在此,我们会拿一个名为sample.exe的恶意软件样本进行具体讲解,首先将其加载到ExeInfo,进行打包。

恶意软件反调试分析的对抗技术

注意入口点是28E8,此外,我们开始调试它的时候,为了确保不被ASLR检查到并避免稍后出现的动态加载,看看DLL的特点,就可以看到这个DLL不能移动。

恶意软件反调试分析的对抗技术

现在将该sample.exe示例加载到OllyDBG中,它向我们提供了一个信号,即代码可以被压缩,以下是我们之前看到的。

恶意软件反调试分析的对抗技术

一旦样本加载到OllyDBG中,它将开始在Unpacker代码中运行,由于手动逐步执行此代码将需要很多时间,所以我们会很可能错过OEP,下面就分析一下我们已经执行的这几行代码。

恶意软件反调试分析的对抗技术

有一些指向SHE结构的FS寄存器,在进一步了解之前,需要了解Windows是如何找到FS寄存器地址的。FS寄存器指向线程信息块(TIB),其包含有关当前正在运行的线程的信息,并且指向SHE链的起点的指针位于TIB的偏移量0x00处。

现在,我们来看看结构异常处理程序。

恶意软件反调试分析的对抗技术

单个SEH记录由堆栈上的两个元素组成,此过程称为_Exception_Registration。构成SEH记录的两个要素是:

1.SEH处理函数;

2.PTR到下一个SEH记录;

这样才能形成SEH链结构。

一旦代码被加载,它将519870复制到EAX并将其推到堆栈的顶部。

恶意软件反调试分析的对抗技术

我们可以看看堆栈的顶部这个推送的ESP指向14FF80。

恶意软件反调试分析的对抗技术

根据SEH的上述说明,这是处理程序函数代码,但仍然需要由下一行代码PUSH DWORD PTR FS:[0]完成的FS来指出。把指针指向SEH链的堆栈顶部,将完成SEH记录。此时寄存器的当前状态如下所示。

恶意软件反调试分析的对抗技术

有了MOV DWORD PTR FS:[0], ESP的说明,代码通过将ESP(指向记录的顶部)移动到FS:[0]来将新创建的记录指定到SEH链的顶端。执行此语句后,我们可以看到堆栈状态SEH记录的两个元素。

恶意软件反调试分析的对抗技术

我们也可以在VEH/SEH链中创建新的记录。

恶意软件反调试分析的对抗技术

但是,自从下一行代码XOR EAX,EAX将0放入EAX后,样本代码应该执行这个SEH处理程序代码。

恶意软件反调试分析的对抗技术

然后它试图将它写入一个只读位置来导致异常,第一个处理程序会捕获此异常,然后执行解包程序代码。

恶意软件反调试分析的对抗技术

此外,在执行最后一条语句时,将跳转到519870(记住这是我们之前提交给EAX寄存器的地址,并且是SEH处理函数SEH记录的一部分)。

恶意软件反调试分析的对抗技术

这是隐藏打包程序代码的一种智能技术,但是我们的分析还没有完成,因为我们仍然需要找到OEP,从二进制文件中解压缩代码并重新构建它是很困难的。

为此,我们将尝试通过在打开代码之前查找打包程序通常使用的一些常见模式:

  • 一个是在解码器代码中寻找EAX跳转的模式,通常是跳转到未打包的代码;
  • 一个是打包机通常在打包代码之前清理堆栈;

因此我们应该按照这个顺序查看:清理堆栈→JMP EAX。

一旦进入519870(SEH处理程序代码)中,我们可以通过每个指令,也可以沿着创建SEH记录设置一个断点。

下面就让我们采用沿着创建SEH记录设置一个断点的办法。

【免责声明】本站内容转载自互联网,其相关言论仅代表作者个人观点绝非权威,不代表本站立场。如您发现内容存在版权问题,请提交相关链接至邮箱:bqsm@foxmail.com,我们将及时予以处理。

网友评论
推荐文章