静态分析-手工脱壳.ppt

网络攻防技术与实践课程 Copyright (c) 2008－2009 诸葛建伟 网络攻防技术与实践课程 Copyright (c) 2008－2009 诸葛建伟 * 网络攻防技术与实践课程 Copyright (c) 2008－2009 诸葛建伟 * 北京大学计算机研究所信安中心 北京大学网络攻防技术与实践课程 作业7讲解 * 网络攻防技术与实践课程 Copyright (c) 2008－2009 诸葛建伟 * 作业7讲解内容 准备工作 行为分析 静态分析 问题解答 * 网络攻防技术与实践课程 Copyright (c) 2008－2009 诸葛建伟 * 准备工作 确认文件完整性 图片md5sum 解压缩: unzip 查看文件属性 右键点击文件-选择“属性” 确认二进制文件格式 * 网络攻防技术与实践课程 Copyright (c) 2008－2009 诸葛建伟 * 准备工作 取得文件中的可打印字符串 乱码 加壳了？ 动态分析-行为监控 开启Wireshark 开启Filemon 开启Regmon 使用Regshot获取注册表快照 执行RaDa.exe 使用RegShot获取执行后的注册表快照，并生成报告 保存Wireshark,Filemon,Regmon的Log * 网络攻防技术与实践课程 Copyright (c) 2008－2009 诸葛建伟 * 观察行为 注册表项 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run RaDa: C:\RaDa\bin\RaDa.exe. 文件系统 C:\RaDa, C:\RaDa\tmp ,C:\RaDa\bin. 将文件RaDa.exe复制到了C:\RaDa\bin目录下 网络行为 通过HTTP协议请求0\RaDa\RaDa_commands.html 行为解读 将自身复制至感染主机系统盘，并激活自启动 尝试获取一个HTML页面”commands” ? 猜测是否后门接收控制指令？ 动态分析不够充分，是否有隐藏路径未触发条件（命令行、时间逻辑等因素） * 网络攻防技术与实践课程 Copyright (c) 2008－2009 诸葛建伟 * * 网络攻防技术与实践课程 Copyright (c) 2008－2009 诸葛建伟 * 静态分析-加壳识别 探测是否加壳 使用FileAnalyze工具的探测结果如下 Packed with UPX v0.93 or v1.00 (PE) * 网络攻防技术与实践课程 Copyright (c) 2008－2009 诸葛建伟 * 静态分析-自动脱壳 自动脱壳失败 上一步已经探测出被加了UPX壳，使用UPX脱壳 * 网络攻防技术与实践课程 Copyright (c) 2008－2009 诸葛建伟 * 静态分析-手工脱壳(0) 步骤0: Ollydbg打开加壳代码 直接使用UPX脱壳行不通，考虑使用Ollydbg将运行时脱壳的代码Dump出来。用Ollydbg打开RaDa.exe，出现如下信息 * 网络攻防技术与实践课程 Copyright (c) 2008－2009 诸葛建伟 * 静态分析-手工脱壳(1) 步骤1：寻找入口点 在打开后的代码中寻找JMP指令，这个可能是到达脱壳后代码的入口 (看雪论坛-UPX脱壳经验) * 网络攻防技术与实践课程 Copyright (c) 2008－2009 诸葛建伟 * 静态分析-手工脱壳(2) 步骤2：Dump出代码段 使用OllyDump插件Dump代码 * 网络攻防技术与实践课程 Copyright (c) 2008－2009 诸葛建伟 * 静态分析-手工脱壳(3) 步骤3：修复PE文件 修复Import Table * 网络攻防技术与实践课程 Copyright (c) 2008－2009 诸葛建伟 * 静态分析-手工脱壳(4) 步骤3：修复PE文件 修复Entry Point 静态分析 – 超级巡警自动脱壳机 * 网络攻防技术与实践课程 Copyright (c) 2008－2009 诸葛建伟 * * 网络攻防技术与实践课程 Copyright (c) 2008－2009 诸葛建伟 * 进一步分析脱壳文件-IDA Pro Strings +Unicode 命令行参数 Copyright (C) 2004 Raul Siles David Perez VMware Tools RaDa_commands.html DDoS Smurf HKLM\\...\\Run C:\\RaDa\\bin __vba****: VB * 网络攻防技术与实践课程 Copyright (c) 2008－2009 诸葛建伟 * 行为分析 尝试使用不同的参数，分析