[系统安全] 逆向工程进阶篇之对抗逆向分析
本文为笔者从零基础学习系统安全相关内容的笔记,如果您对系统安全、逆向分析等内容感兴趣或者想要了解一些内容,欢迎关注。本系列文章将会随着笔者在未来三年的读研过程中持续更新,由于笔者现阶段还处于初学阶段,不可避免参照复现各类书籍内容,如书籍作者认为侵权请告知,笔者将立刻删除。强调本系列所有内容仅作为学习研究使用,作者对此文章中的代码造成的任何后果不负法律责任。
前文链接
[系统安全] PE文件格式详解1
[系统安全] PE文件格式详解2
[系统安全] Windbg Preview调试记录
[系统安全]《黑客免杀攻防》MFC逆向基础实战
[系统安全] windows下C++编写第一个加壳程序
[系统安全] PE文件格式分析实战基础—分析helloworld文件
[系统安全]《黑客免杀攻防》逆向基础之经典脱壳基础
[系统安全] 反病毒与免杀原理概论
[系统安全] 恶意代码分析实战基础之必备知识点和常用工具记录
[系统安全] Windows逆向必备知识、逆向分析小实战
[系统安全] 逆向分析之高级动态分析技术笔记
[系统安全] 系统虚拟化之容器底层原理实验
[系统安全] 万字总结系统虚拟化之容器底层原理实验
[系统安全] malloc的底层原理—ptmalloc堆概述
文章目录
- 静态角度——对抗反汇编
- 线性反汇编
- 面向代码流反汇编
- 对抗反汇编
- 动态角度——反调试
- 使用windows api探测
- 手动检测数据结构
- 系统痕迹
- int指令扫描
- 执行代码校验和检查
- 时钟检测
- 动态角度——反虚拟机
- VMware痕迹
- 代码加壳
- 手动脱壳入门
静态角度——对抗反汇编
反汇编算法主要分为两种:线性反汇编和面向代码流的反汇编算法。
线性反汇编
线性反汇编策略是遍历每一个代码段,根据二进制码进行反汇编,缺点是不会区分某个二进制码是数据还是指令,全部按照指令来反汇编。其中的一种对抗方法是植入多字节指令机器码,比如标准本地call指令有5个字节,以0xE8开头。如果在一个函数开头加上这个字节码,则反汇编器会认为是一个call指令,这条call指令占用了函数开头的4个字节,从而破坏掉要这个完整的函数。
面向代码流反汇编
IDA用的就是面向代码流的反汇编。它检查每一条指令,然后建立一个需要反汇编的地址列表。另外当遇到条件分支时,反汇编器从true或false两个分支处选择一个进行反汇编。大多数面向代码流的反汇编器会首先处理条件跳转的false分支。
对抗反汇编
- 相同目标的跳转指令
相同跳转目标到0xE8后,如下所示,这样会跳转到next+1处,但是如果是线性反汇编,那会将E8看成时call指令。解决方法是光标选中E8,按D键设置成数据。
jz next+1
jnz next+1
next:
E8
malware-code
- 固定条件的跳转指令
跳转条件总是相同,如下代码,反汇编优先处理false分支,这样会执行next后的E8指令
xor eax, eax
jz next+1
next:
E8
malware-code
- 共同引用的字节码,如下图,EB字节作为jmp跳转指令,后面需要FF,而
FF C0又是inc eax,反汇编器会破坏掉inc eax指令,处理方法是将EB字节按D键定义为数据。
- 滥用ret指令
如一下代码,call时将返回地址压栈,add时起始就是将返回地址加5,变成了004011CA出的push ebp指令,当ret的时候eip指向了这条指令。但是反汇编器却蒙圈了。
动态角度——反调试
当恶意代码意识到自己被调试时,可以改变正常的执行路径或者修改自身程序导致崩溃而对抗调试。
使用windows api探测
通过使用windwos提供的api可以判断自己是否正在被调试,比如下面的一些函数,如果在分析的代码中看到这些函数,就说明这个代码样本在检测自身是否被调试
IsDebuggerPresent
CheckRemoteDebuggerPresent
NtQueryInformationProcess
OutputDebugString
手动检测数据结构
PEB结构体中的一些标志会暴漏调试器存在的信息,进程运行时fs:[30h]指向PEB基址
- BeingDebugged标志位
通过检查BeingDebugged标志位可以确定自身是否被调试
- NTGlobalFlag标志位
调试器启动进程和正常模式下启动进程不同,创建的内存堆方式不同,使用PEB中偏移量0x68处值来判断如何创建堆结构。如果是0x70则在被调试中。
系统痕迹
当然就是查看注册表了。
int指令扫描
扫描内存中代码段中是否有0XCC字节,如果有的话说明是调试器下的断点。代码编写者自己插入int 3或者int 2D指令,当调试者调试时可以混淆其中断操作。
执行代码校验和检查
对代码求哈希,和硬编码的哈希值比较
时钟检测
被调试时,进程运行速度大大降低,可以利用代码执行时间间隔来判断是否被调试。可以使用rdtsc指令获取从开机到当前的时间间隔,两次调用做差得到代码执行时间。
动态角度——反虚拟机
VMware痕迹
- 安装了VMware Tools的主机里有三个进程
VMwareService.exe、VMwareTray.exe、VMwareUser.exe。 - 在注册表中也可以看到VMware的相关信息。
- 正常情况下windows不会使用LDT结构,但是vmware会使用。host系统中ldt位置的值位0,而在虚拟机中的值位非零。
- 其他的一些可以实现反虚拟机技术的常用指令包括sidt,sgdt,sldt,smsw,str,in,cpud等。
代码加壳
手动脱壳入门
https://blog.csdn.net/weixin_42172261/article/details/122275587
参考《恶意代码分析实战》