恶意代码分析实战 6 OllyDbg

编程语言 2023-01-28 22:21:36 阅读次数: 0

6.1 Lab 9-1

程序分析
首先,进行静态分析,使用strings。

CreateFileA
RegQueryValueExA
RegOpenKeyExA
RegSetValueExA
RegCreateKeyExA
RegDeleteValueA
WideCharToMultiByte
GetModuleHandleA
GetEnvironmentVariableA
SetEnvironmentVariableA
SOFTWARE\Microsoft \XPS
HTTP/1.0
GET
SLEEP
cmd.exe
>> NUL
http://www.practicalmalwareanalysis.com
%SYSTEMROOT%\system32\

这里有一些东西我们比较在意,我们可以看到该程序对注册表和环境变量进行了一些操作,并且具有网络特征;出现了cmd.exe可能具有远程shell的功能;创建了文件,可能下载了什么东西。
接下来进行动态分析,将程序拖入IDA和OllyDbg中,在IDA中查找该函数的起点,然后在OllyDbg中定位到起点,进行分析。
首先,在地址0x402AFD查看命令行参数的数量是否等于1,等于1,ZF等于1,此时jnz无法跳转,cal了函数 0x401000,我们在IDA中查看一下该函数是什么。
vmware_kZbaNsRdf7.png
发现函数 RegOpenKeyExA ,打开指定的注册表,RegQueryValueExA 检索与打开的注册表项关联的指定值名称的类型和数据。该函数综合功能是查找是否存在它指定的注册表。
vmware_iQcnsdPG1z.png
没有查找到指定的注册表,反返回了0.进入了0x402410,我们打开IDA查看一下这个函数是干啥的。
vmware_NioTrD07SV.png
GetModuleFileName 函数获取当前可执行文件的路径,shellExeute函数对指定文件进行操作,我们看得到有“cmd.exe”“>> NUL”“/c del”字符串,可能是对自身进行了删除,在OllyDbg中跟进。
vmware_bA9hS4JYhi.png
vmware_dddqhlQLcz.png
可以看到字符串"/c del C:\DOCUME1\ADMINI1\Lab09-01.exe >> NUL",对可执行文件进行了删除,然后结束了程序。
问题

  1. 如何让这个恶意代码安装自身?

首先需要跳过__alloca_probe函数,通过加入一个参数跳过。
vmware_NNKUFS9eci.png
还需要跳过0x402510函数,进入这个函数分析可以得知,需要的参数为“abcd”。

  1. 这个恶意代码的命令行选项是什么?它要求的密码是什么?

vmware_Ze2v0UXy2f.png
可以对几个函数进行依次分析。
参数-in
(1)若带的参数是-in,则安装服务。

(2) 参数-re
若带的参数是-re,则卸载服务

(4) 参数-c
若带的参数是-c,则删除自身并设置注册表配置键

(5) 参数-cc
若带的参数是-cc,则打印注册表配置键

该恶意程序还能能执行多种指令 ‘-in’ 进行安装,‘-re’ 进行恶意程序的彻底清除,‘-cc’ 进行注册表打印,‘-c’ 进行恶意代码更新配置;要求的密码是 ‘abcd’

  1. 如何利用OllyDbg永久修补这个恶意代码,使其不需要指定的命令行密码?

可以通过修改跳转条件。
vmware_rYnjDI0g2S.png
将此处改为je,既可在密码错误时跳转。

  1. 这个恶意代码基于系统的特征是什么?

会创建一个指定注册表项 “HKLM\SOFTWARE\Microsoft \XPS” 的 “configuration”键”;同时会创建一个服务,该服务的名称由安转时传入的参数决定;另外,该程序还会自我赋值到Windows系统目录下。

  1. 这个恶意代码是否有网络特征?

msedge_ZXMETcTzDN.png
会向指定的站点发出http (HTTP/1.0 GET) 请求,默认的站点是“http://www.practicaolmalwareanalysis.com”

6.2 Lab 9-2

用OllyDbg分析恶意代码文件Lab09-02.cxe,回答下列问题。
问题

  1. 在二进制文件中,你看到的静态字符串是什么?

使用Strings进行分析。
vmware_9ULb5X4PxV.png

  1. 当你运行这个二进制文件时,会发生什么?

没有发生什么就终止了。

  1. 怎样让恶意代码的攻击负载(payload)获得运行?

使用OllyDbg进行分析,首先定位到程序入口。
vmware_RKAmia4GeX.png
可以发现这里将很多字符转移到了栈上,我们可以通过IDA来查看一下是什么字符串。
vmware_CZf81IrWob.png
或者使用OllyDbg进行跟随。
vmware_vdlhuR50An.png
继续运行,发现调用了GetMoudleFileName函数
vmware_zz1AsxhThC.png
运行到vmware_k3UkZR7cal.png这个位置。
调用了一个函数,有两个参数,其中一个是上面所返回的路径,另一个是‘\’,这个函数的作用是将当前可执行文件的文件名找出来。
运行到下一个call调用函数的地址。
vmware_azC7to9GkF.png
可以看到栈上有两个参数。
vmware_DVEa9ozumO.png
结合IDA我们可以得知这就是一个字符串比较函数。如果这个函数发现两个字符串不一样,那么就会退出程序。
将该可执行文件名称改为ocl.exe就可以运行该样本。

  1. 在地址0x00401133处发生了什么?

vmware_CZf81IrWob.png
将两个字符串压入了栈中。

  1. 传递给子例程(函数)0x00401089的参数是什么?

vmware_gIKBUrIQu0.png
参数是字符串和一个数据缓冲区。

  1. 恶意代码使用的域名是什么?

进入(函数)0x00401089。

char *__cdecl sub_401089(char *a1, int a2)
{
    
    
  signed int i; // [sp+4h] [bp-108h]@1
  signed int v4; // [sp+8h] [bp-104h]@1
  char v5; // [sp+Ch] [bp-100h]@1
  char v6; // [sp+Dh] [bp-FFh]@1
  __int16 v7; // [sp+109h] [bp-3h]@1
  char v8; // [sp+10Bh] [bp-1h]@1

  v5 = 0;
  memset(&v6, 0, 0xFCu);
  v7 = 0;
  v8 = 0;
  v4 = strlen(a1);
  for ( i = 0; i < 32; ++i )
    *(&v5 + i) = a1[i % v4] ^ *(_BYTE *)(i + a2);
  return &v5;
}

类似于一个解密函数。
运行看看结果。
vmware_edBqbuoz3h.png

  1. 恶意代码使用什么编码函数来混域名?

恶意代码用字符串 1qaz2wsx3edc 异或加密的 DNS 名来解密域名。

  1. 恶意代码在0x0040106E处调用CreateProcessA函数的意义是什么?

书上的解答是

恶意代码设置stdout、stderr和stdin的句柄到socket(被用在CreateProcessA的STARTUPINFO结构中)。由于cmd作为CreateProcessA的参数调用,因此通过绑定一个套接字与命令shell来创建逆向shell

大概意思就是说这个shell是通过这个CreateProcessA的STARTUPINFO来绑定stdou,stderr,stdin在cmd上的,只有这样才能把这些东西绑定在cmd上

6.3 Lab 9-3

使用OllyDbg和IDAPro分析恶意代码文件Lab09-03.exe。这个恶意代码加载3个自带的DLL
(DLLI.d、DLL2.dI、DLL3.dI),它们在编译时请求相同的内存加载位置。因此,在OllyDbg中对照IDAPro浏览这些DLL可以发现,相同代码可能会出现在不同的内存位置。这个实验的目的是让你在使用OllyDbg看代码时可以轻松地在IDAPro里找到它对应的位置。
问题

  1. Lab09-03.cxe导入了哪些DLL?

首先查看静态导入的DLL;
vmware_p9J4kjX2zk.png
然后打开IDA查看导入函数LoadLibrary函数导入了什么DLL;
vmware_a8si1jpmMc.png
vmware_2dcfz95U3g.png
一共是导入了6个DLL。

  1. DLL.dll、DLL2.dll、DLL3.dll 要求的基地址是多少

查看要求的基地址。
vmware_71u4JJwmvI.png
vmware_P3FiEEvqCT.png
vmware_k4PAuK6aOw.png

  1. 当使用OllyDbg调试Lab09-03.exe时,为DLL.d、DLL2.d、DLL3.du分配的基地址是什么?

因为 DLL3.dll 库需要在程序运行时才能导入,所以先运行到导入dll的地址。
vmware_8obodhPQiU.png
查看导入的基地址。
vmware_QXXFGWQH91.png

  1. 当Lab09-03.exe调用DLL1.dll中的一个导入函数时,这个导入函数都做了些什么

vmware_EMljisc084.png
OllyDbg中也给出了一段字符串。DLL1.exe的导入函数是:
vmware_FdjPR6kWmc.png
使用 IDA 打开 DLL1.dll,
vmware_NPSv4UUnW6.png
sub_10001038应该是一个printf函数,dword_10008030中的数据是GetCurrentProcessId的返回值。
vmware_1apwos2FvE.png
所以这个函数的功能就是打印出dll的进程ID。

  1. 当Lab09-03.exe调用WriteFile函数时,它写入的文件名是什么?

文件名称是DLL2中的函数返回的。
vmware_aYp1eABy1w.png
所以我们有必要查看一下DLL2中的这个函数是干什么的。
vmware_33SFlNhUwU.png
看来是“text.txt”。

  1. 当Lab09-03.cxe使用NetScheduleobAdd创建一个job时,从哪里获取第二个参数的数据?

分析dll3getstructure。
msedge_1WH7tDhdRq.png
可以看到这个函数有一个参数,将其赋给eax结合分析exe时看到的调用
msedge_2MT2ALvlGp.png
传入的参数是edx而edx的值是buffer的内容
而这个buffer其实就是一个局部变量也就是说在调用dll3strcture时其参数就是局部变量的地址回到dll3.dll的分析在获取到地址之后
msedge_EcbWwYkEU1.png
把dword的值赋给eax指向的地址中,也就是前面说的buffer我们跟进,查看交叉引用
msedge_OIlBroSnqY.png
可以看到是一系列的move赋值的操作这些数据的地址会保存在buffer里,而buffer保存在ecx,而之后ecx是作为netschedulejobadd的第二个参数
msedge_mBYq0JoGiN.png
Lab09-03.exe 从DLL3GetStructure中获取NetScheduleJobAdd调用的缓冲区,它动态地解析获得第二个参数的数据

  1. 在运行或调试Lab09-03.exe时,你会看到Lab09-03.exe打印出三块神秘数据。DLL1的神秘数据DLL2的神秘数据,DLL3的神秘数据分别是什么?

DLL1的神秘数据是进程ID,DLL2的神秘数据是打开temp.txt文件的句柄,DLL3的神秘数据是字符串“ping www.malwareanalysisbook.com”。

  1. 如何将DLL2.d加载到IDAPro中,使得它与OlyDbg使用的加地址匹配

vmware_WM6JtOqMMd.png
vmware_inFXjNxZOC.png
vmware_SILCGsE59W.png+
vmware_Ip5xRsfeSW.png
成功。

猜你喜欢

转载自blog.csdn.net/weixin_61823031/article/details/128758103
今日推荐
开源日报 | Chrome内置Gemini的意义不在于Gemini;中国AI追随之路的五大误区;ECharts创始人“下海”养鱼;谷歌I/O开发者大会什么都有,只是没有惊喜
微软回应中国区AI团队“打包赴美”传闻
基于大语言模型的开源知识库问答系统 MaxKB GitHub Star 数量突破 5,000 个!
美国拟限制 AI 大模型出口中国和俄罗斯
苹果将与 OpenAI 达成协议,将 ChatGPT 应用于 iPhone
openKylin 社区生态委员会第六次会议圆满召开
阿里云正式发布通义千问 2.5
Python 3.13 发布首个 Beta:实验性自由线程模式和 JIT、改进交互式解释器
Stack Overflow 拿我的代码去训练 AI 大模型,还封了我的账号
Pop!_OS 的 COSMIC 桌面完成 App Store 上架工作
《2024 年一季度互联网投融资运行情况》研究报告
报告:Django 仍然是 74% 开发者的首选
周排行
返回指定时间格式
fopen函数中的mode参数
Java 单例模式探讨
Flex remoteobject工作原理探讨
寻找mplayer的便捷安装方法
30天了解30种技术系列---(26)MySQL自动化运维工具Inception
关于Jboss/Tomcat/Jetty的JNDI定义123
程序减肥,strip,eu-strip 及其符号表
AsyncTask、View.post(Runnable)、ViewTreeObserver三种方式总结frame animation自动启动
Json和Bean的互相转换
每日归档
更多
2024-05-15(24)
2024-05-14(0)
2024-05-13(18)
2024-05-12(0)
2024-05-11(38)
2024-05-10(38)
2024-05-09(35)
2024-05-08(42)
2024-05-07(14)
2024-05-06(40)

代码天地 © 2018 codetd.com

境外服务器   最新电视剧2022