网络攻击课件-二进制代码分析.ppt

参考代码 仅供参考 对抗代码逆向：代码虚拟化 虚拟机保护技术使用类似于Java的虚拟机技术，就是把要执行的指令通过Java的虚拟机JVM来解释字节码并执行。 VMProtect和ASProtect的SDK编程差不多，都是在编程时在语句里面插入一个标记(Marker)，然后在加壳处理时时，加壳程序就会认出这些标记，并对标记区间内的代码进行保护。 典型的虚拟机结构 VStartVM VMDispacher Bytecode Handler1 Handler2 Handler3 带壳程序的运行特点 静态分析无效 // IDA 动态执行过程中分段解压缩(解密)执行 虚拟机保护下的 VMProtect #include windows.h #include stdio.h #include VMProtectSDK.h“ main() { unsigned int x; x = rand(); VMProtectBegin(test--1); x += 0 x *= 0xaabbccdd; VMProtectEnd(); printf(a=%d\n, x); return 0; } 脱壳 unpacker 常用的脱壳工具 File Scanner 通用的脱壳工具 ProcDump32 通用脱壳工具 ASPack unpacker ACProtect Stripper UPX自带脱壳的命令 Upxfix UnPEPack用于脱PEPACK Themida：4种保护宏 Encode：解密出被保护的原始x86指令执行完毕后马上又重新加密回去。 Clear：执行完毕后删除原有的80x86指令，下次需要再执行则要重新解密。 CodeReplace： VM：用虚拟机解释系统替换掉原有的x86指令。 插件 调试器进程 虚拟机 目标进程 脱壳后代码 加壳后代码 追踪 Od插件：反反跟踪 PhantOm.dll StrongOD.dll 中断、异常 外部中断interrupt，异步的，无法预测，软件可以关中断，这样就眼不见心不烦了。 由软件产生的中断如X86的“INT n”，程序有意主动产生，这种称之为“陷阱”。 与中断相似的机制称之为“异常”(exception)，一般也是异步的，多半是由于“不小心”犯了规才发生的。例如，div 0、缺页、非法地址访问、调试中断等。 结构化异常处理（SEH） Structured Exception Handling 操作系统中的 EXCEPTION_REGISTRATION 结构链表 当异常发生时，系统遍历这个链表以便查找其中的一个结构，询问是否同意处理该异常。异常处理程序通过返回如ExceptionContinueExecution 表示它同意处理这个异常。 异常回调函数也可以拒绝处理这个异常。此时，系统会继续询问下一个结构。 SEHOP Structured Exception Handler Overwrite Protection（结构化异常处理覆盖保护） SEH攻击是指通过栈溢出或者其他漏洞，使用精心构造的数据覆盖结构化异常处理链表上面的某个节点或者多个节点，从而控制EIP（控制程序执行流程）。而SEHOP则是是微软针对这种攻击提出的一种安全防护方案。 SEHOP效果 SEHOP的保护是系统级别的，将更难绕过去。而且不需要修改原有的应用程序，对性能的影响基本可以忽略（因为只有在触发异常时才会触发SEHOP保护逻辑）。而覆盖SEH进行攻击是在/GS的保护出来以后，无法覆盖函数返回地址时，攻击者常用的技巧。 SEHOP方案终结了SEH覆盖攻击吗？NO！【备注行】的基本思路是构造一个伪造的SEH链表，从而欺骗SEH检测，达到绕过的目的。 不过，作者也提到了在ASLR和DEP的都开启的情况下，利用是非常困难的。 注入方法（1）AppInit_DLLs Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] AppInit_DLLs=c:\\mydll3.dll 建立一个reg后缀名的文件，把如上内容放进去。 演示 记事本+ws2_32.dll 有选择地驻留 BOOL APIENTRY DllMain(HANDLE hModule, DWORD fdwReason, LPVOID lpReserved) { char name[200]={0}; char *pn = name; DWORD dw = GetModuleFileNam