恶意代码分析实战 第十七章课后实验

问题1：

使用x86来确定自己是否运行在虚拟机中。

问题2：

使用ida载入实验文件Lab17-01.exe，然后运行Python脚本：

运行后发现在output window窗口可以看到提示有三处使用反虚拟机技术，并且提供了这三处的地址。

在ida中对这三处都是以红色高亮显示的，指令分别是sldt,sidt,str.

问题3，4，5，6：

按顺序先来分析一下sldt指令，

这里主要看这些mov操作，可以看到eax里的值是dword_406048，点击去发现值是0DDCCBBAAh，然后将其赋值到var_8，之后指令sldt执行后会将结果保存到var_8中，最终会保存到eax里，利用交叉引用看看函数sub_401100是在哪里被调用的：

函数sub_401100是在main函数中被调用的，这里可以看到一个比较指令，就是查看公告那个常量的低位是否被设置为0。如果不是0，跳转就会执行，程序也就退出。

下面使用OD来验证这个反虚拟机技术是否会成功，

在虚拟机中使用OD载入实验文件，在4012D6处下断点，然后运行，

在我的虚拟机环境下直接就显示了已终止。

为了让sldt指令能够成功实现，可以使用NOP指令来替换掉位于4012D1到4012DB处的这三条指令，或者直接更改jnz指令的跳转。

下面来看一下sidt指令：

程序将sidt的运算结果保存到了var_420中。往下看，将var_420中的内容进行了逻辑右移24位，然后用这个结果与FF进行比较，如果相同就表明检测到了虚拟机，调用sub_401000来实现删除自身。

下面到OD里试一下，在4011EC处下断点，然后运行：

可以看到显示了跳转未实现，ecx中的值为FC并不是FF。是什么原因导致了这样的结果呢？其实啊这种检测只对单核心的虚拟机才会有效，而我的虚拟机是多核心。

为了让sidtl指令能够成功实现，可以使用NOP指令来替换掉sidt指令的内容，或者直接更改je指令的跳转，或者设置虚拟机为单核的状态。

下面来看一下str指令：

其实这里的目的就是要检测edx中的值是不是4000，这是虚拟机的特征码。使用OD进行检测，在40122F处下断点，然后运行：

发现edx中的值就是4000，也就说明检测成功了。

 

问题1：

问题2：

先将实验文件放到C盘根目录下，然后使用Process Monitor进行监控，设置好筛选器。打开cmd，输入命令有运行：

运行后在Process Monitor中发现创建了xinstall.log，mselfdel.bat两个文件，

返回到C盘根目录下只发现了文件xinstall.log，并没有另一个。通过监控发现是cmd对其进行删除。

问题3：

创建了两个文件。文件xinstall.log的内容为

另一个是自我删除的.bat文件。

问题4：

使用ida载入实验文件，先在字符串窗口找一刚刚自删除的文件：

双击进去，然后利用交叉引用，来到函数sub_10005567的位置，这个函数 就是.bat文件自删除的代码，然后对其进行交叉引用：

发现了三处对其引用，这里选择第一个，双击进去发现：

可以看到这里调用了两次函数sub_10003592，第一次就是将文件xinstall.log打开，第二个就是将字符串Found Virtual Machine,Install Cancel.写入到文件xinstall.log中。往上看可以看到函数sub_10006196可以找到这段代码，进入函数分析一下：

在这里可以很清楚的看到一个in指令，这个的目的就是来查询I/O通信端口。通过分析可以知道，恶意程序想用一个magic值来查看I/O通信端口的回应。

问题5：

强制安装可以nop来替换in指令，绕过后门I/O通信端口技术。

问题6：

继续分析InstallRT函数：

最后的跳转指令就是来确定是否执行反虚拟机技术的，可以看到这里使用了atoi来将字符串转换成数字，字符串就保存在off_10019034里，进去看一下：

可以很清楚的看到字符串[This is DVM]5，而这里就是要将字符串的5转换成数字5，下面可以看到使用test来检查转换后的数字是否为0。如果是0 也就跳转反虚拟机技术的检测了。想要永久的禁用这个反虚拟机技术只要将其该为0即可。

问题7：

这次的实验程序是一个功能非常丰富的后门程序，在这里我就不一一分析了，有兴趣的朋友可以仔细分析一下。

 

问题1：

运行实验文件时使用Process Monitor进行监控，设置好筛选器，运行实验文件：

程序很快就终止了，这也就很明白了它使用了反虚拟机技术将它真正的目的隐藏起来了。

问题2：

使用ida载入实验文件Lab17-03.exe，然后利用Python脚本找到x86漏洞指令，

这里利用in指令来查询后门I/O通信端口。如果运行在虚拟机中的话就会返回1，反之返回0。利用交叉引用：

这里我们是希望其进行跳转的，那么可以利用OD将下面的test语句改为xor，就可以实现了。

下面查看一下字符串：

 

看到了vmware这个字符串，双击进去利用交叉引用看一下发现它在函数sub_4011C0里被调用，查看其交叉引用：

可以看到这是一个很明显的递归函数，还调用了一些其他函数，我们可以怀疑函数在注册表中递归检查字符串vmware，从而判定自身是否在虚拟机中。

继续利用交叉引用，发现它还被main函数调用：

想要确保跳转一直成立就可以将test语句改为xor语句就可以了。

下面对字符串中的GetAdaptersInfo进行交叉引用，然后在main函数发现出现了它：

这个就是获取GetAdaptersInfo的地址，并将其保存到dword_403114里。对其进行交叉引用：

通过分析可以发现如果想要永久地禁用这种检测，就要避免MAC地址的比较操作。使用OD将0x0040169F的语句修改为“jmp 0x0040184A”，

直接跳到资源节的操作部分即可。

最后一处反虚拟机检查是在函数sub_401400处：

可以看到函数的两个参数分别是6和0F30D12A5h，用这两个参数与函数sub_401000的返回值进行比较，如果与0F30D12A5h相等，出现返回1，结束。这个恶意程序分厂巧妙的利用了替换技术，使用字符串哈希函数来替换vmware，达到混淆的目的。

为了禁用这个反虚拟机技术，使用OD将位于0x0040145D的指令nop填充掉，这样程序就可以直接从自身的资源节中提取键盘记录器。

问题3：

一共使用了四种：

• 利用in指令，使用后门I/O通信端口。
• 在注册表SYSTEM\CurrentControlSet\Control\DeviceClasses下搜索的vmware字符串。
• 检查MAC地址，查看它是否为VMware默认使用的MAC地址。
• 用字符串哈希函数来搜索进程列表中以字符串vmware开头的进程。

问题4：

修改MAC地址。

问题5：

这个在前面已经分析过了。