恶意代码分析-第十八章-加壳与脱壳

目录

笔记:

实验:

Lab18-1

Lab18-2

Lab18-3


笔记:

壳的功能:缩减程序的大小,阻碍对加壳程序的探测和分析

解析函数导入表:1.仅导入LoadLibrary和GetProcessAddress两个函数。先脱出原始文件,再读取原始可执行文件的导入函数信息。

                              2.保持原始导入函数表的完整,让Windows加载器加载所有的DLL及导入函数---->缺乏隐蔽性

                             3.为原始导入表中的每个DLL保留一个导入函数,解析时只用查看每个导入库中的一个函数---->比第二个隐蔽性高

                              4.不导入任何函数,脱壳存根从库中查找所有需要的函数。

尾部跳转:ret  call  NtContinue ZwContinue 隐藏跳转

识别加壳程序加壳标识----->导入函数仅有LoadLibrary和GetProcessAddress

                                                只有少量代码被识别

                                                加壳警告

                                                节名中包含加壳的警告

                                                .text原始数据大小为0,但虚拟大小不为0

                       阕值计算------>压缩或者加密数据更接近于随机数据,因此有一个较高的阕值(Mandiant Red Curtain/Red Curtain)

脱壳自动脱壳--->PE Explorer

           手动脱壳--->1.找到加壳算法,编写一个程序逆向运行它

                               2.运行脱壳程序,让脱壳存根帮你工作,让它从内存中转储处进程,然后修正PE头部

查找OEP自动工具----->OllyDump,通过Section Hop调用Find OEP(如果一个call函数没有返回,节与节之间的大跳转)

                  手动查找----->查找尾部跳转指令(jmp,ret)

                                        在栈上设置读断点

                                        在代码每个循环后面设置断点

                                        在GetProcAddress函数设置断点,多数脱壳器会使用GetProcAddress函数来解析原始函数的导出表

                                        不要让代码执行向上跳

                                        不同程序:1.命令行程序--->Getversion与GetCommandlineA

                                                          2.GUI程序------->GetModuleHandleA与Getversion

 

                                         OllyDbg的Run Trace选项

手动修复导入表:利用OD标注导入函数

常见壳UPX:压缩壳               

              PECompact:包含反调试异常和混淆代码

              ASPack:自我修改代码-----设置硬件断点

              Petite:单步异常---------硬件断点---------每个库至少导出一个函数

              WinUpack:有GUI终端的壳优化压缩--------GetModuleHandleA/GetCommandlineA

              Themida:复杂,具有反调试与反逆向分析。会在原始程序运行后继续运行。---------ProcDump转储Windows进程的内容

不完全脱壳的情况下分析:并不需要让其完全脱壳再去分析这个程序。进行转储,IDApro分析特定的节,找到一个地址,标记为代码,拿strings分析。

加壳的dll:在OD中加载dll时,DllMain函数会在od中断之前就运行。

                  解决:定位IMAGE_FILE_HEADER,在0x2000处的值为1,表示是一个DLL文件,但如果为0,表示一个EXE文件。                                              

 

ProcDump

实验:

Lab18-1

加了壳的软件

明显的尾部跳转

Lab18-2

加壳

 使用od插件寻找OEP,然后转化为code

Lab18-3

可以看出来加壳了,但用od插件并不能定位到OEP

查看代码尾部跳转

然而这里也并不能找到OEP

程序的开始位置,有pushfd和pushad的操作把寄存器的值压入栈,当脱壳完成后。这些寄存器的值还会pop出来

所以执行到如图位置后,在esp中下硬件访问断点。

再次运行,停在OEP位置,然后转化为代码

Lab18-4

同样利用上面的那个esp堆栈平衡

Lab18-5

这个壳隐藏了导入信息,同样利用上面的那个esp堆栈平衡

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值