揭开病毒的面纱：恶意代码自解密技能

说明病毒的时辰，经常碰着一种很稀疏的征象，行使查壳器材查察一个样本显着没有加壳，可是反编译或调试时，却不能直观地看到样本的恶意操纵，这是为什么呢？很简朴，这是由于进攻者回收了自界说的加密要领，在样本运行时实现自解密并执行真正的恶意操纵，以是看到的只是样本还没解密的样子，天然说明不出恶意代码的逻辑。

下面就通过实例来窥伺下恶意代码自解密的技能吧，如下是一个Ammyy病毒的下载器（MD5：28EAE907EA38B050CBDCC82BB623C00A），行使DIE查壳发明，该样本并没有加任何的壳。

然而当查找字符串时，却未能发明一些可疑的字符串（如下载器常有的恶意url），看到的只是一堆乱码，看来，该样本很有也许就是行使了自解密的技能。

反编译该样本，也难以看出它的代码逻辑，许多动态地点的call。

对付这种样本，反编译器很丢脸到一些重要的操纵，由于大部门都是解密操纵，以是只能通过调试器单法式了。单法式试没啥好能力，碰着跑飞的call下断点然后从头调试。调试的时辰，要留意VirtualAlloc、GlobalAlloc、HeapCreate这些函数，由于恶意代码凡是行使这些函数来申请一段内存空间，来存放解密出来的恶意代码。如下图，该样本挪用的是HeapCreate建设了0×230000这段内存。

接着恶意代码用了je + retn的方法轮回解密0×230000处的数据。

解密完毕后，恶意代码挪用call esi将执行流从0x40XXXX转到0×230000。

然而，0×230000处的代码并不执行焦点的恶意操纵，目标在于修改0x40XXXX处的原始代码。如下，它会挪用VirtualProtect将0×400000的内存属性改为RW（读写），进而修改原本的代码。

修改后的0×400000内存段的属性如下。

修改完代码，挪用jmp esi跳回到0x40XXXX举办执行，此时，这段内存的代码已经被修悔改了，终于开始执行焦点的恶意操纵了。

将内存dump下来发明，此刻的代码已经是解密后的恶意代码了，措施逻辑清楚可见，通过字符串查找可以找到待下载的病毒的url。

至此，该下载器的成果已经说明完毕，首要成果为从http://thespecsupportservice.com/load.png下载Ammyy病毒并运行。

由此，可以总结得出，恶意代码自解密的步调一样平常为以下5步：申请内存 -> 复制数据 -> 解密数据 -> 跳转到堆中执行恶意代码 -> 修改原始代码并跳回执行。不外，我们也许会有个迷惑，病毒为什么不直接在堆中执行焦点的恶意操纵呢，还要通过修改原始代码来在0×400000空间解密执行焦点的恶意代码。这是由于，一些较量高级的沙箱、杀软会监控病毒建设大片内存空间的操纵，这时一旦开释出解密代码，便会立即被沙箱、杀软检测到，以是在堆中的代码一样平常不会只会直接举办焦点的恶意操纵。

相识了恶意代码自解密技能后，来看看最近风行的GandCrab打单病毒（MD5：48A673157DA3940244CE0DFB3ECB58E9），行使的也是这种自解密技能，来实现免杀。行使DIE对样本举办检测，表现并未加壳。

自解密的伎俩跟上述提到的相似，在0×1280000处申请了一段内存空间。

（编辑：河北网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!