恶意代码分析实战 3 IDA Pro

利用IDA PRO分析Lab05-01.dll
实验目的
利用IDA Pro分析Lab05-01.dll中发现的恶意代码，回答以下问题：

1. DLLMain的地址是什么？

可以空格转入反汇编查看DLLMain地址，或者


DLLMain的地址是.text:0x1000D02E。

2. 使用Imports窗口并浏览到gethostbyname，导入函数定位到什么地址？

这样的三步来寻找地址。


地址是.idata:100163CC。

3. 有多少函数调用了gethostbyname？

光标滑到函数所在位置，按下+开启交叉引用。

数一数发现不同地址的函数共有5个，所以gethostbyname被5个不同的函数调用了9次。
类型p是被调用的引用，类型r是被读取的引用。

4. 将精力集中在位于0x10001757处的对gethostbyname的调用，你能找出哪个DNS请求将被触发吗？

按下G，快速跳转。

调用了函数，32位汇编通常把参数存在eax中，查看一下什么东西导入了eax。

后面正好有一句eax+0xD，所以解析的是后面这一部分的网址。

5. IDA Pro 识别了在0x10001656处的子过程中的多少个局部变量？

按G定位到函数，后面是负数的是局部变量。

一共23个。

6. IDA Pro识别了在0x10001656处的子过程中的多少个参数？

后面是正数的是参数，所以共有一个参数。

7. 使用Strings窗口，来在反汇编中定位字符串 \cmd.exe /c, 它位于哪儿？

+ 打开Strings窗口，搜索该字符串。

它的位置是 xdoors_d:10095B34 。

8. 在引用 \cmd.exe /c的代码所在区域发生了什么？

跳转到它的调用部分。

看起来像是远程攻击者开启了一个远程shell对话。

9. 在同样的区域，在0x100101C8处，看起来dword_1008E5C4好像是一个全局变量，它帮助决定走哪条路径。那恶意代码是如何设置dword_1008E5C4的呢？（提示：使用交叉引用）

双击进入data处，查看交叉引用，发现只有一处是对它进行了修改。

.text:10001673 call sub_10003695
.text:10001678 mov dword_1008E5C4, eax

进入该函数看一看，

.text:10003695 VersionInformation= _OSVERSIONINFOA ptr -94h
.text:10003695
.text:10003695 push ebp
.text:10003696 mov ebp, esp
.text:10003698 sub esp, 94h
.text:1000369E lea eax, [ebp+VersionInformation]
.text:100036A4 mov [ebp+VersionInformation.dwOSVersionInfoSize], 94h
.text:100036AE push eax ; lpVersionInformation
.text:100036AF call ds:GetVersionExA
.text:100036B5 xor eax, eax
.text:100036B7 cmp [ebp+VersionInformation.dwPlatformId], 2
.text:100036BE setz al
.text:100036C1 leave
.text:100036C2 retn
.text:100036C2 sub_10003695 endp

调用了GetVersionEx，用于获取操作系统版本的信息，其中将dwOSVersionInfoSize与数字2进行比较，来确定如何设置AL寄存器。如果PlatformId为VER_PLATFORM_WIN32_NT，AL会被置位，只是简单的判断当前操作系统是否Windows 2000或更高版本，我们可以得出结论，该全局变量通常会被置为1.

10. 在位于0x1000FF58处的子过程中的几百行指令中，一系列使用memcmp来比较字符串的比较。如果对robotwork的字符串比较是成功的（当memcmp返回0），会发生什么？

.text:10010444 loc_10010444: ; CODE XREF: sub_1000FF58+4E0j
.text:10010444 push 9 ; Size
.text:10010446 lea eax, [ebp+Dst]
.text:1001044C push offset aRobotwork ; “robotwork”
.text:10010451 push eax ; Buf1
.text:10010452 call memcmp
.text:10010457 add esp, 0Ch
.text:1001045A test eax, eax
.text:1001045C jnz short loc_10010468
.text:1001045E push [ebp+s] ; s
.text:10010461 call sub_100052A2
.text:10010466 jmp short loc_100103F6

如果memcmp返回0，jnz是不是零的时候就跳转，会执行sub_100052A2函数，进入函数内部看看。

.text:100052DF push eax ; phkResult
.text:100052E0 push 0F003Fh ; samDesired
.text:100052E5 push 0 ; ulOptions
.text:100052E7 push offset aSoftwareMicros ; “SOFTWARE\Microsoft\Windows\CurrentVe”…
.text:100052EC push 80000002h ; hKey
.text:100052F1 call ds:RegOpenKeyExA

发现首先用RegOpenKeyExA函数打开了注册表HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion，然后查询了aWorktime和aWorktimes键也就是worktime和worktimes键的值，然后调用了sub_100038EE函数，
双击进入sub_100038EE函数查看，发现其调用了了malloc函数创建了内存空间，然后又调用了send函数，最后调用了free函数释放内存空间，所以猜测可能是对注册表SOFTWARE\Microsoft\Windows\CurrentVersion进行了修改或查询操作，然后再将结构发送出去。

11. PSLIST导出函数做了什么？

通过菜单View->Open Subview->Exports，查看该DLL的导出表。在其中可以看到PSLIST，双击它，光标来到0x10007025处，也就是导出项代码的起始处。这个函数选择两条路径之一执行，这个选择取决于sub_100036C3的结果。sub_100036C3函数检查操作系统的版本是Windows Vista/7，或是 Windows XP/2003/2000。这两条路径都使用CreateToolhelp32Snapshot函数，从相关字符串和API调用来看，用于获得一个进程列表。这两条代码路径都通过send将进程列表通过socket发送。

12. 使用图模式来绘制出对sub_10004E79的交叉引用图。当进入这个函数时，哪个API函数可能被调用？仅仅基于这些API函数，你会如何重命名这个函数？

首先定位到0x10004E79，然后将光标移动到感兴趣的函数名上，通过菜单的View->Graphs->User Xrefs Chart，我们可以得到函数的交叉引用图。

该函数调用了GetSystemDefaultLangID和send，该信息告诉我们，该函数可能通过socket发送语音标志，因此，右击函数名，给他一个更有意义的名字，例如send_languageID

13. DllMain直接调用了多少个Windows API？多少个在深度为2时被调用？

DLLMain直接嗲用了strncpy，strnicmp、CreateThread 和 strlen这些API。进一步地，调用了非常多的API，包括Sleep、WinExec、getthostbyname，以及许多其他网络函数调用。

14. 在0x10001358处，有一个对Sleep（一个使用一个包含要睡眠的毫秒数的参数的API函数）的调用。顺着代码向后看，如果这段代码执行，这个程序会睡眠多久？

查看一下什么进了eax。

是个30。

乘了1000。
所以恶意代码会休眠30秒。

15. 在0x10001701处是一个对socket的调用，它的3个参数是什么？

2，1，6

16. 使用MSDN页面的socket和IDA Pro中的命名符号常量，你能使参数更有意义吗？修改后，参数是什么？

Winsock2.h

SOCKET WSAAPI socket(
  [in] int af,
  [in] int type,
  [in] int protocol
);

https://learn.microsoft.com/zh-cn/windows/win32/api/Winsock2/nf-winsock2-socket
它的每个值的含义都在这里面。
我找了找，分别对应：
AF_INET
SOCK_STREAM
IPPROTO_TCP
可以这样进行修改。

17. 搜索in指令（opcode 0xED）的使用。这个指令和一个魔术字符串VMXh用来进行Vmware检测。在这个恶意代码中被使用了吗？使用对执行in指令函数的交叉引用，能发现进一步检测Vmware的证据吗？

有“VMXh”样式字符串，可能有检测虚拟机的行为。

18. 将你的光标跳转到0x1001D988处，你发现了什么？

在0x1001D988处可以看到一些看起来随机的数据。

19. 如果你安装了IDA Python插件（包括IDA Pro的商业版本插件），运行Lab05-01.py，一个IDA Pro Python脚本（确定光标是在0x1001D988处），在运行该脚本后发生了什么？

首先安装IDAPython，参考链接如下：
https://blog.csdn.net/betabin/article/details/7318233
https://www.cnblogs.com/afublog/p/11228771.html

运行之后，不再是乱码了。

20. 将光标放于同一位置，你如何将这个数据转成一个单一的ASCII字符串？

按下A键，就可以将其变为一个可读字符串了：

xdoor is this backdoor, string decoded for Practical Malware Analysis Lab :)1234

21. 使用一个文本编辑器打开这个脚本。它是如何工作的？

sea = ScreenEA()

for i in range(0x00,0x50):
        b = Byte(sea+i)
        decoded_byte = b ^ 0x55
        PatchByte(sea+i,decoded_byte)

该脚本的工作原理是，对长度为0x50字节的数据，用0x55字节的数据，用0x55分别与其进行异或，然后用PatchByte函数在IDA中修改这些字节。