病毒分析与手工查杀
今天又可以上最喜欢的姚老师的实验课了!
先浅浅记录一下理论知识。
有需要实验工具和靶机的可以留言我给你分享~
实验目的:
分析PE文件结构,理解关键字段意义,掌握RVA、VA、FOA地址间转换;分析文件型病毒的原理;了解文件型病毒的发现方法,能利用OD等工具分析PE病毒,并通过手工方式进行病毒查杀;分析病毒专杀工具的基本设计方法。
系统环境及工具:
WinSR虚拟机、病毒样本、OllyDBG、PE Explorer、UltraEdit32
实验原理和PE结构待补充。
用ollyDBG修改病毒感染程序
先感染文件hei0.exe,感染前文件大小是3K,感染后是9k
用OD修改病毒程序
首先要找到最后一个jmp指令,因为病毒的代码是贴在最后一个节,且执行完病毒的代码完成文件感染后要jmp回到程序入口点。然后源程序入口点肯定是不会都一样的,不同的exe文件入口点不一样,若是写死则无法兼容感染其他exe。于是我们可以合理推测,在执行病毒代码之前,病毒把程序的入口点的RVA值保存在某个地址,执行完病毒代码后把地址放在aex中然后jmp aex。(为啥是aex寄存器呢,我也不是特别清楚,但是我发现很多jmp都是把地址放到aex里面然后,jmp aex)
找最后一个jmp aex
直接在od上右键->查找->命令->输入jmp eax,或ctrl F,不要勾选整个块,我们就可以ctrl L一直往下下一条。
然后在指令的地址处下一个断点F2,然后重载
换了一台机器调试,可以看到断点停下时jmp 的值是00401000,也就是源程序的入口点。
按F7运行就回到了程序入口点,然后我们右键,用OD脱壳调试进程。
选择方式2,点击脱壳,也可以选择方式一对比一下,但是这次实验方式一脱壳是没办法运行的。
另存为文件后测试是否还具有传染性,无。
病毒感染机制分析
把感染前和感染后的样本重命名为hei0.exe和hei1.exe后放到一个目录下,对比分析。
使用PE Explorer分别打开两个文件,对比文件入口点(OEP--Address of Entry Point)和镜像大小(Image Base),并记录如下数据。
|
|
OEP |
ImageBase |
|
hei0.exe |
00001000 |
00400000 |
|
hei.exe |
00003200 |
00400000 |
感染前后程序入口点对比,感染前1000,感染后3200
感染前后镜像大小对比,感染前16384byte,感染后18944byte
查看比对Section Header的数据信息并记录到下面表格。
|
|
Virtual Size |
Virtual Address |
Size of Raw Data |
Point to Raw Data |
|
hei0.exe的.data |
00000027h |
00403000h |
00000200h |
00000400h |
|
Hei1.exe的.data |
00001A00h |
00403000h |
00001A00h |
00000800h |
下面对比图可以看到Virtual Size,Size of Raw Data,节属性发生变化
打开Ultra Editor,择“文件”菜单中的“比较文件”功能对hei0.ex_和hei.ex_进行二进制比对,可以发现在hei.exe文件的0xa00处开始的数据块为存储于.data节的病毒代码。
搜索hei0的入口点1000,然后记录数据文件偏移记录21ch,计算该地址在内存虚拟地址为
21ch-800+3000+400000 = 0040481c
Od加载查看对应地址,发现就是jmp eax
用以上方法对几个已感染和未感染的文件对比分析,并作出如下记录
|
文件 |
原文件的 入口地址 |
感染病毒文件的 入口地址 |
感染病毒文件的最后一个跳转目的地址 |
|
mspaint.exe |
34CF5 |
53800 |
010345C |
|
notepad.exe |
73A5 |
13000 |
010073A5 |
|
wordpad.exe |
119B |
3A00 |
0100119B |
通过以上分析,可以初步判断,病毒的感染方式为:
在最后一个节后添加恶意代码,并修改程序的入口点为恶意代码的入口点,修改对应的节表的大小,和镜像大小,不然在执行时文件会解析出错,在完成感染以后jmp回到源程序的入口点执行程序。
手工查杀
修改思路如下:
(1)查找病毒寄存特征。
入口点在代码节(.text)之外,病毒代码存储于最后一节、且在病毒代码段后的一个双字为原程序代码入口RVA(在.text节范围内)。
文件病毒代码以0xE58BE0FF结尾。
(以上特征是对简化后的病毒特征的总结、实际中的病毒要复杂的多);
(2)查找原程序入口点。在PE头偏移25h字节处取4字节
(3)修改程序入口点为原程序入口点。
(4)修改病毒感染的最后一个节表的SizeOfRawData,使之大小变为去掉病毒代码时的大小。
(5)修改PE文件选项头中的SizeOfImage为去掉病毒代码后的大小。
(6)清除病毒代码数据。
(7)保存清除病毒代码后的文件。
要删除病毒代码,首先查找病毒代码选块。
要先找到程序入口点,因为病毒为了在程序运行时取得cpu控制权,会把源程序入口点改为自己的代码入口点。
根据老师给的参考文件,我明白了,指定程序入口点的位置在PE00后偏移25字节的位置,取4字节。
这里的入口点是RVA,我们需要根据节表进行RVA和FOA的转换。
可以根据虚拟偏移判断3200位于.data节,原始偏移为800,那么程序入口的代码在静态下位于:
3200-3000+800 == A00
(!!!!注意这里是A00不是1000,这些数字都是16进制的)
我第一次算的1000,然后把1000后面的代码块都删掉了,然后那么怎么还是多出一段。
然后我们要选中从A00开始,到结束标志(文件病毒代码以0xE58BE0FF结尾)的代码块,直接按delete删掉。
一个快速选中代码块的办法,记住代码块的开始和结束的地址,编辑->定义选块。
如何找病毒结束的地址呢?
点击搜索->查找hex数值,搜FFE08BE5(我们读数字是大端,winhex是小端存储,低地址低位高地址高位)
删掉选块delete
把入口点由3200修改为1000,我猜为啥是1000,因为代码和数据都放在.text节,.text节的虚拟偏移是1000.
如何看节表开始呢,就看右边的名称,一个节表项开始的八个字节定义的是节表的名称,所以节表名称最多7个字符,因为有一个. ,修改最后一个节表就是.data节。首先找到.data节。
然后修改节表原始大小为00020000(小端),虚拟(真实)大小为27
然后修改size of image,被感染后大小为4A00,我们要改成4000,为啥是4000我也不知道。
然后另存为,然后运行。
运行成功。
实验总结待补充。
浙公网安备 33010602011771号