恶意代码分析实战17-1

最新推荐文章于 2023-12-25 17:49:02 发布
最新推荐文章于 2023-12-25 17:49:02 发布
阅读量254 收藏
点赞数
分类专栏: malware
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yalecaltech/article/details/117399454
版权

本次实验我们将会分析Lab17-01.exe文件。先来看看要求解答的问题
Q1.这个恶意代码使用了什么反虚拟机技术?
Q2.使用IDAPro,运行IDAPython脚本(提供的findAntiVM.py),看它发现了什么?
Q3.每种反虚拟机技术成功执行后会发生什么?
Q4.针对你的虚拟机,这些反虚拟机技术中哪些技术会生效?
Q5.为什么每个反虚拟机的技术,会生效或失败?
Q6.怎么使这些反虚拟机技术无效,从而让恶意代码运行?

IDA载入文件,运行findAntiVM.py来自动查找存在漏洞的x86指令
File->script file,选择该脚本
在这里插入图片描述

输出窗口的结果如下所示
在这里插入图片描述

由上图可知检测到了三条漏洞指令的类型
Q2.使用IDAPro,运行IDAPython脚本(提供的findAntiVM.py),看它发现了什么?
A2.这个脚本发现了三个可能的反虚拟机指令sidt、str和sldt,用红色对它们进行了高亮显示。

双击00401121,在IDA view-a可以看到红色高亮显示的sldt指令
在这里插入图片描述

另外的也是同样可以看到
在这里插入图片描述

sidt指令
在这里插入图片描述

str指令

我们依次分析
先来看sldt
sldt指令也称为no pill,是一种反虚拟机技术
在这里插入图片描述

可以看到var_8被eax赋值,而eax来自dword_406048
dword_406048是一个初始化常量
在这里插入图片描述

sldt指令的结果被存入var_8,通过一些列mov最后赋给了eax
我们看看sldt所在的函数sun_401100的交叉引用
在这里插入图片描述

跟入
在这里插入图片描述

可以看到sub_401100的返回值在eax,会与0xddcc0000比较,其实就是用于检查初始常量的第序比特位是否被设置为0
如果不是0,则执行跳转,跳到loc_40132b
在这里插入图片描述

之后就退出了
这样就不会走另外一个创建线程的分支
在od中,在4012d6下断点,然后执行
在这里插入图片描述

在右边可以看到此时EAX为ddcc0000,说明虚拟机检测失败

接下来看下第二条
在这里插入图片描述

可以看到会将sidt结果中最重要的四个字节存入var_420
在004011e3处,sidt的四个字节被移位。
移位之后,就是sidt的第五个字节与0xff(vmware的特征)比较。
如果比较成功,那么恶意代码检测到了虚拟环境,则会实现跳转
而跳转的目的地40132d是调用了sub_401000

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

可以看到该函数是用于删除自身并终止进程
我们可以在od中测试下
在4011e6下断的地方查看ecx
在这里插入图片描述

此时ecx并不是0xff,说明在我的环境中这种检测是失败的,这是因为我是在多核的虚拟机上进行实验
那么理所当然的,单步之后,跳转也是无法实现的
如下图所示
在这里插入图片描述

再来分析第三处
在这里插入图片描述

str指令将任务状态段TSS载入到一个四字节的本地变量var_418中
在调用GetModuleFileName后,该变量才会被使用
如果匹配VMware特征码,则00401235的结果为0,00401244的结果为0x40
如果str指令成功执行,则下图所示,恶意代码不会创建MalServive服务
在这里插入图片描述

我们在od中40122f下断点,执行
在这里插入图片描述

此时edx值为0x28,而不是0x400(vmware的特征码)
说明在我的环境中这个检查还是失败的
Q1.这个恶意代码使用了什么反虚拟机技术?
A1.恶意代码用存在漏洞的x86指令来确定自己是否运行在虚拟机中。
Q3.每种反虚拟机技术成功执行后会发生什么?
A3.如果sidt指令或者str指令探测到虚拟机,恶意代码将会删除自己。如果sldt指令探测到恶意代码,恶意代码将不创建主线程就退出,但是它将会创建恶意服务MalService。
Q4.针对你的虚拟机,这些反虚拟机技术中哪些技术会生效?
A4.针对我们的机器而言,所有的反虚拟机技术都未成功。技术是否会生效会随着使用软硬件的不同而不同。(在实验室的环境里是不会生效的)
Q5.为什么每个反虚拟机的技术,会生效或失败?
A5.在分析过程中已经给大家解释了,不再重复。
Q6.怎么使这些反虚拟机技术无效,从而让恶意代码运行?
A6.可以用NOP替换sidt和str指令,或者在调试恶意代码时,实时改变跳转标志。

参考:
1.《恶意代码分析实战》

Elwood Ying
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
恶意代码分析实战_01静态分析基础知识
kitsch0x97的博客
04-30 1123
通过反病毒引擎扫描可疑软件、通过哈希值查询可疑软件、通过字符串查询分析可疑软件、加壳可疑软件分析、PE格式可疑软件分析、可疑软件链接库与函数分析
恶意代码分析实战
09-20
本书是一本内容全面的恶意代码分析技术指南,其内容兼顾理论,重在实践,从不同方面为读者讲解恶意代码分析的实用技术方法。, 本书分为21章,覆盖恶意代码行为、恶意代码静态分析方法、恶意代码动态分析方法、恶意代码对抗与反对抗方法等,并包含了shellcode 分析,C++恶意代码分析,以及64 位恶意代码分析方法的介绍。本书多个章节后面都配有实验并配有实验的详细讲解与分析。通过每章的介绍及章后的实验,本书一步一个台阶地帮助初学者从零开始建立起恶意代码分析的基本技能。, 本书获得业界的一致好评,IDA Pro 的作者Ilfak Guilfanov 这样评价本书:“一本恶意代码分析的实践入门指南,我把这本书推荐给所有希望解剖Windows 恶意代码的读者”。
恶意代码分析实战》官方实验样本
01-13
学习恶意代码分析,从官方下载的《恶意代码分析实战》课后实验样本。
恶意代码分析实战课后练习题
11-04
"恶意代码分析实战课后练习题"是一份针对这一主题的专业训练材料,旨在帮助学习者加深对恶意代码理解并提升分析技能。本资料结合MATLAB的学习,将理论与实践相结合,为学员提供一个深入研究恶意软件行为的平台。 ...
恶意代码分析实战.part2
08-14
本书一方面从内容上更侧重于恶意代码分析技术与实践方法,而非各类恶意代码的原理技术与检测对抗方法;另一方面更加侧重实用性,能够引导读者们在实际恶意代码样本分析过程中使用书籍中所介绍的各种分析技术、工具和...
恶意代码分析实战 Lab10-01
m0_46377671的博客
07-15 634
Lab 10-01 本实验包括一个驱动程序和一个可执行文件。你可以从任意位置运行可执行文件,但为了使程序能够正常运行,必须将驱动程序放到C:\Windows\System32目录下,这个目录在受害者计算机中已经存在。可执行文件是Lab10-01.exe,驱动程序是Lab 10-01.sys. 问题 1.这个程序是否直接修改了注册表? 修改了。 2.用户态的程序调用了ControlService函数,你是否能够使用WinDbg设置一个断点,以此来观察由于ControlService的调用导致内核执行了怎样的
恶意代码分析实战Lab1102
ACdream
05-08 205
打开ini文件,看到一个字符串,明显是加密过的,很容易猜想dll会对其进行解密首先关注到ini文件的使用方式可知ini文件需要放到system32目录下,该dll才可以正确运行100010B3函数对读取的每一位做计算不晓得这堆数据有什么用然后分析到100014B6函数:合理猜测当这些dll或者exe运行时,会调用该恶意代码分析installer函数:很常见的注册表键值操作以及文件操作问题1:恶意d...
恶意代码分析实战Lab1-1
王陈锋的博客
04-10 1177
Lab1-1 2. 这些文件是什么时候编译的? 采用将程序导入到PE view,进行分析,在PE文件的头部->NT头->文件头处可以看得PE文件的创建日期。 exe文件 DLL文件 亦或者可以使用010 Editor进行分析。 3. 这两个文件是否存在迹象说明它们是否被加壳或混淆? 将文件分别拖进PEiD进行分析。 exe文件 DLL文件 可以判断两个文件都无加壳,未被混淆。 4. 是否有导入函数显示出了这个恶意代码是做什...
恶意代码分析实战——Lab1-002.exe
sxr__nc的博客
12-21 408
查看程序,有壳: 第一步:程序脱壳:(UPX壳,直接ESP定律)找到OEP(如下图,直接Dump 转储就好) 第二步开始分析: main函数进去之后: 可以先查询一下调用的API的具体功能: StartServiceCtrlDispatcherA 将服务进程的主线程连接到服务控制管理器,后者使该线程成为调用过程的服务控制调度程序线程 函数原型: BOOL StartServiceCtrlD...
恶意代码分析实战Lab0301
ACdream
01-28 950
先查壳 看到PEncrypt 3.1 Final -> junkcode的壳,没见过。上次下载的万能脱壳机脱不下来这个 于是网上先找了一波脱壳教程 https://bbs.pediy.com/thread-90089.htm 找到了这个脱壳的案例和教程,链接底下也有demo下载可供调试(学会了这个用这种方式还是脱不下来这个题的) 最后想到了内存DUMP的办法,即使我不
恶意代码分析实战Lab0701
ACdream
02-25 471
运行程序,发现程序持续运行中。。。一直黑屏在跑。在IDA中可以看到是有Sleep函数问题1:如何实现持久化驻留程序运行过程中,会开启一个名为MalService的服务运行net start查看机器当前开启的服务,惊人发现~服务没有开起来,可能是哪个地方姿势不对吧问题2:程序的互斥量找到mutexName是个常量字符串:HGL345说明该程序只能运行一个实例同时打开多个,在几秒钟之内,除了第一个的以...
恶意代码分析实战Lab0901
ACdream
02-27 468
和0304是同一个程序,下面是自己当时对0304的分析http://blog.csdn.net/kevin66654/article/details/79250908从IDA里分析main先分析多次重复出现的402410&parameters是由三部分字符串连接而成的aCDel是删除符号,&Filename是自身,aNull是>>NULL的终结符号,shell执行之后,...
恶意代码分析实战——静态分析基础技术
最新发布
A1_3_9_7的博客
12-25 1227
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
恶意代码分析实战Lab1502
ACdream
06-24 266
4102386:隐藏字符串的姿势之一:把字符串的赋值改成一个一个字符赋值这样在strings中就看不到了在main中,出现了一个红色调用:在OD中明显可以看到:啊啊啊啊...
恶意代码分析实战 Lab15
baidu_41108490的博客
06-05 507
lab15-01在每一个跳转地址前面都有一个E8,把他标识为数据,程序就出来了第一个比较,要求命令行参数是两个,其中一个是程序名接着是取出第二个参数的第一个字节作比较,可以知道参数是pdqlab15-02修正过程中就两个地方注意一下,其他的都跟第一题一个手法第一个是如下图,原来是个jmp语句跳到FF开始执行,也就是另一种翻译做inc和dec,所以这一段其实没有意义,选择翻译成第二个图就好,只要知道...
恶意代码分析实战 pdf mobi
08-30
恶意代码分析实战是一本介绍如何分析和应对恶意代码的实用指南。这本书提供了基础知识和实战经验,帮助读者了解和应对各种恶意代码的攻击。这本书的目标是帮助安全专家和研究人员提高对恶意代码分析的能力,并且给...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值