揭开病毒的面纱:恶意代码自解密技能
副问题[/!--empirenews.page--]
说明病毒的时辰,经常碰着一种很稀疏的征象,行使查壳器材查察一个样本显着没有加壳,可是反编译或调试时,却不能直观地看到样本的恶意操纵,这是为什么呢?很简朴,这是由于进攻者回收了自界说的加密要领,在样本运行时实现自解密并执行真正的恶意操纵,以是看到的只是样本还没解密的样子,天然说明不出恶意代码的逻辑。 下面就通过实例来窥伺下恶意代码自解密的技能吧,如下是一个Ammyy病毒的下载器(MD5:28EAE907EA38B050CBDCC82BB623C00A),行使DIE查壳发明,该样本并没有加任何的壳。 然而当查找字符串时,却未能发明一些可疑的字符串(如下载器常有的恶意url),看到的只是一堆乱码,看来,该样本很有也许就是行使了自解密的技能。 反编译该样本,也难以看出它的代码逻辑,许多动态地点的call。 对付这种样本,反编译器很丢脸到一些重要的操纵,由于大部门都是解密操纵,以是只能通过调试器单法式了。单法式试没啥好能力,碰着跑飞的call下断点然后从头调试。调试的时辰,要留意VirtualAlloc、GlobalAlloc、HeapCreate这些函数,由于恶意代码凡是行使这些函数来申请一段内存空间,来存放解密出来的恶意代码。如下图,该样本挪用的是HeapCreate建设了0×230000这段内存。 接着恶意代码用了je + retn的方法轮回解密0×230000处的数据。 解密完毕后,恶意代码挪用call esi将执行流从0x40XXXX转到0×230000。 然而,0×230000处的代码并不执行焦点的恶意操纵,目标在于修改0x40XXXX处的原始代码。如下,它会挪用VirtualProtect将0×400000的内存属性改为RW(读写),进而修改原本的代码。 修改后的0×400000内存段的属性如下。 修改完代码,挪用jmp esi跳回到0x40XXXX举办执行,此时,这段内存的代码已经被修悔改了,终于开始执行焦点的恶意操纵了。 将内存dump下来发明,此刻的代码已经是解密后的恶意代码了,措施逻辑清楚可见,通过字符串查找可以找到待下载的病毒的url。 至此,该下载器的成果已经说明完毕,首要成果为从http://thespecsupportservice.com/load.png下载Ammyy病毒并运行。 由此,可以总结得出,恶意代码自解密的步调一样平常为以下5步:申请内存 -> 复制数据 -> 解密数据 -> 跳转到堆中执行恶意代码 -> 修改原始代码并跳回执行。不外,我们也许会有个迷惑,病毒为什么不直接在堆中执行焦点的恶意操纵呢,还要通过修改原始代码来在0×400000空间解密执行焦点的恶意代码。这是由于,一些较量高级的沙箱、杀软会监控病毒建设大片内存空间的操纵,这时一旦开释出解密代码,便会立即被沙箱、杀软检测到,以是在堆中的代码一样平常不会只会直接举办焦点的恶意操纵。 相识了恶意代码自解密技能后,来看看最近风行的GandCrab打单病毒(MD5:48A673157DA3940244CE0DFB3ECB58E9),行使的也是这种自解密技能,来实现免杀。行使DIE对样本举办检测,表现并未加壳。 自解密的伎俩跟上述提到的相似,在0×1280000处申请了一段内存空间。 (编辑:河北网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |