静态分析基础技术

这是《恶意代码分析实战》一书第1章的笔记

注意,文中的链接都有可能是恶意的,请勿随意点击

1.反病毒引擎扫描

1-1.Virus Total

类似VirusTotal这样的网站允许你上传一个文件,然后调用多个反病毒引擎来扫描。VirusTotal网站会生成一份报告,其中提供了所有引擎对这个样本的识别情况、标识这个样本是否恶意、恶意代码名称,以及其他额外信息。

2.哈希值

哈希是一种用来唯一标识恶意代码的常用方法。恶意代码样本通过一个哈希程序,会产生一段用于唯一标识这个样本的独特哈希值(类似于一种指纹)

2-1.md5deep

从这个网站下载md5deep-4.4.zip,解压后有一堆.exe文件,包括32位的和64位的md5deep、hashdeep等,但是双击打开我不会用。书上是在命令行中运行的,于是我想到了Python配置环境变量,如法炮制,果然可以在命令行中使用了。
额
使用例子:
计算Windows操作系统自带的sort程序哈希值
恶意代码3

2-2.WinMD5

这是WinMD5Free v1.20的下载地址,这个版本只能同时计算和显示一个文件的哈希值,可以输入其原本哈希值进行比对。
额
这是WinMD5 v2.07的[下载地址]http://www.blisstonia.com/software/WinMD5/),这也是书中使用的版本。
WinMD5是图形化界面的,可以同时计算和显示出多个文件的哈希值。一旦你对一个恶意代码样本拥有了一段独特哈希值之后,你可以把它用作如下用途:
* 将哈希值作为标签使用。
* 与其他分析师分享哈希值,以帮助他们来识别恶意代码。
* 在线搜索这段哈希值,看看这个文件是否已经被识别。
恶意代码5

3.查找字符串

一个程序会包含一些字符串,比如打印出的消息、连接的URL,或是复制文件到某个特定位置。

3-1.Strings程序

在这个网站,微软自己的,下载下来解压后第一次双击运行会需要点一个Agree之类的东西,抱歉没有截图。之后就可以在命令行直接运行了(第二次开始如果双击运行strings.exe或strings64.exe则会闪退..),不需要手动配置环境变量。(但是见鬼我只能用strings.exe而不能用strings64.exe)
恶意代码6
Strings程序搜索三个及以上连续的ASCII或Unicode字符,并以终结符结尾的可打印字符串。
有些时候Strings程序检测到的字符串并非是真正的字符串,它们可能是一个内存地址、CPU指令序列,或是由哪个程序所使用的一段数据。这就需要用户自己来过滤了。一般来说,如果一个字符串很短而且不是一个单词的话,他就可能是毫无意义的。

4.加壳与混淆恶意代码

  • 注意:**加壳和混淆代码通常至少会包含 LoadLibrary 和 GetProcAddress 函数,它们是用来加载和使用其他函数功能的。

4-1.文件加壳

当加壳的程序运行时,会首先运行一小段脱壳代码,来解压缩加壳的文件,然后再运行脱壳后的文件。当我们对一个加壳程序进行静态分析时,只有这一小段脱壳代码可以被解析。

4-2.使用PEiD检测加壳

注意:许多PEiD插件会在没有警告的情况下运行恶意代码的可执行文件!

1559979-20190927222802289-458293925.png

4-3.使用UPX工具脱壳

下载地址
可以方便地对使用UPX加壳的恶意代码进行脱壳。下载后在命令行对应路径使用即可,一般带上-d选项。
1559979-20190927222633061-690534344.png

5.PE文件格式

Windows平台可执行PE文件中的分节

分节名称描述
.text包含可执行代码
.rdata包含程序中全局可访问的只读数据
.data存储程序中都可以访问的全局数据
.idata有时会显示和存储导入函数信息,如果这个节不存在时,导入函数信息会存储在.rdata节中
.edata有时会显示和存储导出函数信息,如果这个节不存在时,导出函数会存储在.rdata节中
.pdata只在64位可执行文件中存在,存储异常处理信息
.rsrc存储可执行文件所需的资源
.reloc包含用来重定位库文件的信息

6.链接库与函数

6-1.静态链接、运行时链接与动态链接

静态链接在Windows平台链接代码库不常用,在UNIX和Linux程序中常见。当一个库被静态链接到可执行程序时,所有这个库中的代码都会被复制到可执行程序中,这会让可执行程序增大许多。而在分析代码时,很难区分静态链接的代码与可执行程序自身代码,因为在PE文件头中没有迹象表明这个文件含有链接代码。

运行时链接在合法程序中并不流行,但是在恶意代码中是常用的,特别当恶意代码被加壳或混淆的时候。使用运行时链接的可执行程序,只有当需要使用函数时,才链接到库,而不是像动态链接模式那样在程序启动时就会链接。

一些Windows API允许程序员导入并没有在程序的文件头中列出的链接函数。其中,两个最为常见的是LoadLibrary和GetProcAddres。LdrGetProcAddress和LdrLoadDll也会被使用。LoadLibrary和GetProcAddress允许一个程序访问系统上任何库中的任何函数,这意味着当这些函数被使用时,你无法静态分析出可疑样本程序中会链接哪些函数。

动态链接(DLL)最为常见,对于恶意代码师也是最应该关注的。当代码库被动态链接时,宿主操作系统会在程序被装载时搜索所需的代码库,如果程序调用了被链接的库函数,这个函数会在代码库中执行。

PE文件头中存储了每个将被装载的库函数,以及每个会被程序使用的函数信息。这些信息可以帮助我们猜测恶意代码干了什么。如,若一个程序导入了URLDownloadToFile函数,你就可以猜测它会连接到互联网下载一些内容,然后在本地文件中进行存储。

6-2.使用Dependency Walker工具探索动态链接函数

Dependency Walker工具包含在微软Visual Studio的一些版本与其他微软开发包中,支持列出可执行文件的动态链接函数。
常见的DLL程序

DLL描述
Kernel32.dll这是一个很常见的DLL,它包含核心系统功能,如访问和操作内存、文件和硬件,等等
Advapi32.dll这个DLL提供了对核心Windows组件的访问,比如服务管理器和注册表
User32.dll这个DLL中包含了所有用户界面组件,如按钮、滚动条以及控制和响应用户操作的组件
Gdi32.dll这个DLL中包含了图形显示和操作的函数
Ntdll.dll这个DLL是Windows内核的接口。可执行文件通常不直接导入这个函数,而是由Kernel32.dll间接导入,如果一个可执行文件导入了这个文件,这意味着作者企图使用那些不是正常提供给Windows程序使用的函数。一些隐藏功能和操作进程等任务会使用这个借口
Wsock32.dll和Ws2_32.dll这两个是联网DLL,访问其中任一个DLL的程序非常可能连接网络,或是执行网络相关的任务
Wininet.dll这个DLL包含了更高层次的网络函数,实现了如FTP、HTTP和NTP等协议
  • 函数命名约定:
    • 以Ex为后缀的函数名:微软更新一个函数后给新函数一个与旧函数相同的名字并加上Ex后缀,显著更新过两次的函数会有两个Ex后缀。Eg. CreateWindowEx
    • 以A或W为后缀的函数名:以字符串作为参数的函数的两个版本,后缀为A的输入参数类型为ASCII字符串,后缀为W的输入参数为宽字符字符串。在微软的文档搜索这个函数时,记得丢掉后缀的A或W。Eg. CreateDirectoryW

参考

Sikorski M, Honig A. Practical malware analysis: the hands-on guide to dissecting malicious software[M]. no starch press, 2012.

转载于:https://www.cnblogs.com/hardcoreYutian/p/11264148.html

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值