码迷,mamicode.com
首页 > 其他好文 > 详细

病毒木马查杀实战第016篇:U盘病毒之逆向分析

时间:2016-04-21 07:34:05      阅读:274      评论:0      收藏:0      [点我收藏+]

标签:

       本系列教程版权归“i春秋”所有,转载请标明出处。

       本文配套视频教程,请访问“i春秋”(www.ichunqiu.com)。



比对脱壳前后的程序

       我们这次所要研究的是经过上次的脱壳操作之后,所获取的无壳病毒样本。其实我们这里可以先进行一下对比,看看有壳与无壳的反汇编代码的区别。首先用IDA Pro载入原始病毒样本:

技术分享

图1

       可以发现此时IDA Pro的Functionwindow是空的,说明很多函数没能解析出来,并且还无法切换到图形模式,而图形模式正是我们逆向分析的利器。那么下面就载入脱壳后的样本来看一下:

技术分享

图2

       可见这个时候IDA就已经能够分析出非常多的信息了,比如Function window还有图形模式窗口。而通过图形模式窗口,我们发现,这个病毒样本的主体结构就是一大段的分支与循环,通过图形模式有利于我们对于病毒流程的理解。那么下面就利用OllyDBG和IDA进行分析。

 

逆向分析病毒样本

       首先在OD中让程序跳到main函数的位置,也就是IDA给我们分析出的0x0040155C的位置。通过上图可以发现,程序首先调用了GetModuleFileName这个函数用于获取自身的路径,然后使用CreateFile打开自身,打开成功后,再使用SetFilePointer与ReadFile获取文件自身最后的8个字符:

技术分享

图3

       注意上图中红框后的08表示的是成功读取的字节数。接下来会验证是不是成功读取了8个字符,并且最后四个字符是不是0x829AB7A5,可以理解为这是对附加数据真实性的校验:

技术分享

图4

       然后程序会将图3的红框中前四个字符读取出来,赋给eax,也就是说,此时eax中保存的是0x144816,之后程序会利用new函数开辟这么大的空间:

技术分享

图5

       开辟得到的空间的地址会保存在eax里面,我这里是0x00A00020。接下来程序再次调用SetFilePointer:

技术分享

图6

       结合栈空间的情况可以得知,这次文件指针会从文件从后向前移动0x00EBB7E2的长度,然后调用ReadFile函数:

技术分享

图7

       通过分析ReadFile的参数我们可以知道,函数会将数据写入到0x00A00020,也就是我们刚才所申请的空间中。会读取144816个字节,实际获取的字节数会保存在0x0012FF1C的位置。事实上它这里所获取的正是整个附加数据的内容,但是这个附加数据是不包括后面八个字节的。然后又是对所获取的字符进行验证,验证无误后,再进行下一步的操作。

       程序调用GetTempPath函数获取临时文件夹的路径:

技术分享

图8

       接下来程序会调用一个名为sub_40153B的函数,结合OD进入这个函数观察一下:

技术分享

图9

       可以发现,这段代码的主要功能就是利用异或操作进行解密,解密的对象是从0x00A0002C处开始的字符,一共解密0x14480A个字符。换句话说,这段代码就是将附加数据解密,从而用于别的方面。那么不妨将这个函数重命名为BufferDecode。

       接下来程序调用wsprintf函数将字符“E_N4”复制到0x0012FEA4的位置,并利用strcat函数,与之前所获取的临时文件夹字符串进行连接:

技术分享

图10

       然后调用CreateDirectory函数,创建基于上述路径的文件夹,并在文件夹路径后添加“\”符号。之后再次调用new,创建大小为0x23A080的空间,该空间的首地址为0x00B50020。然后程序会调用名为sub_40366F的函数,利用IDA进入这个函数的内部,发现它还是比较抽象的,难以分析出它具体做了什么,那么不妨仅看看它的输入和输出,看看有什么规律。首先在CALL的上方,利用了四个push语句:

技术分享

图11

       是否意味着这个函数有四个参数呢?不妨利用IDA看一下这个函数的情况:

技术分享

图12

       由上图可以发现,函数sub_40366F一共有7个局部变量,4个参数。现在结合图11来看一下这四个参数都是什么。首先是0x00B50020,它是我们刚刚分配的内存空间;然后是0x0012FF20,这个位置保存的是所创建的空间的大小,也就是0x23A080;接下来是0x00A00035,这是经过解密的附加数据的位置;最后是0x00144802,表示要读入的字节数。了解了这几个参数,然后在OD中按F8步过这个函数,再观察上述四个参数的变化。可见位于0x00B50020地址处的数据发生了变化:

技术分享

图13

       在这个数据区域可以发现两件事情,首先是字符串“krnln.fnr”,它可能是一个文件名。而在这个疑似文件名的最后,则是一个PE文件。那么不妨将sub_40366F重命名为CopyData。之后程序调用了delete函数,将之前申请的地址为0x00A00020的空间删除,这个空间也就是之前用于保存附加数据的位置。可见,虽然是一个病毒,但是病毒作者还是保持了良好的代码风格,new和delete成对出现,避免了内存泄露的问题。

       接下来执行到0x004017BC的位置,通过IDA或者OD都可以发现这段代码是一处循环,那么可以分析一下这个循环的功能。首先第一个CALL调用了strlen是获取字符串“krnln.fnr”的长度,然后调用strcpy函数,将“krnln.fnr”进行复制:

技术分享

图14

       然后再次调用strcpy函数,这次拷贝的是我们之前获取的临时文件夹的路径:

技术分享

图15

       利用strcat函数将上述两个字符串连接,并调用CreateFile函数创建这个文件,再使用WriteFile进行文件内容的写入。而通过分析WriteFile的参数可以知道,它所写入的内容是从地址0x00B5002E开始的0x10D000个字节,并且会将实际写入的字节数保存在0x0012FF0C的位置:

技术分享

图16

       由于这段代码是一个循环,所以每次循环都会进行文件的创建与文件内容的写入,第二次循环所创建的文件名为HtmlView.fne,同样也写入了一个PE文件,这里不再赘述。这个循环一共会创建九个PE文件,可以在临时文件夹中查看一下:

技术分享

图17

       然后程序会调用LoadLibrary函数来加载krnln.fnr这个文件,那么可以知道,该文件是一个动态链接库文件。加载成功后会利用GetProcAddress来调用该动态链接库中的GetNewSock这个导出函数,之后再使用delete删除之前分配的0x00B50020位置的空间。然后来到了这里:

技术分享

图18

       这里我们发现了一个“call $+5”的语句,其实这条语句的意思是调用当前地址位置加上5的那条语句。当前地址是0x00401924,那么加上5也就是0x00401929,也就是去执行下一条语句。之后又call了eax,其实也就是去执行0x100298FA处的语句,它位于krnln.fnr这个动态链接库中。这个病毒在执行完这条语句后,也就退出了,那么也就是说明病毒的主要功能的实现,就在这个动态链接库中。

 

给DLL文件脱壳

       krnln.fnr这个文件是加了壳的,这里依旧使用“小生我怕怕”版的PEiD进行核心扫描:

技术分享

图19

       可见这个程序依旧使用的是UpolyX v0.5进行加壳的。事实上DLL文件的脱壳与EXE文件的脱壳方法是大同小异的,我这里同样使用的是“ESP定律”进行脱壳,只不过DLL文件的脱壳多了一个修复重定位表的操作。由于本系列并不是主要研究脱壳的知识,因此只要我的脱壳后的文件能够满足要求,可以便于我们分析即可。

       将krnln.fnr载入OD,由于它是一个DLL文件,所以OD会进行询问:

技术分享

图20

       这里选择“是”,同意使用loaddll.exe对DLL文件进行分析。当反汇编代码显示出来后,按F8,此时ESP寄存器会变成红色,在该寄存器地址的数据窗口下一个硬件访问断点,然后按下F9让程序运行起来。当程序停在断点处时,不断F8,直至来到程序OEP的位置:

技术分享

图21

       将这个位置的文件提取出来,并且用ImportREC进行修复,然后利用PETools的重定位修复插件对其进行修复,再使用PEiD进行查壳:

技术分享

图22

       可见此时DLL文件已经没有壳了,说明我们的工作是成功的。

病毒木马查杀实战第016篇:U盘病毒之逆向分析

标签:

原文地址:http://blog.csdn.net/ioio_jy/article/details/51198417

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!