20145326蔡馨熤《计算机病毒》——代码的动静态分析结合

20145326蔡馨熤《计算机病毒》——代码的动静态分析结合

尝试使用各种动静态工具,对代码9-3.exe进行分析,回答如下问题:

该程序导入了哪些DLL?

  • 先打开PEiD工具查看样例代码。这里发现了4个dll被调用。

  • 另外还有一些dll文件呢,它是在程序运行的时候加载的。我们打开IDA Pro来载入程序进行分析。一般来说,在程序的运行中静态加载的话,会用到LoadLibrary这个函数。我们找找看。

  • 在imports中找到后,双击,然后选中地址交叉引用。type对应的是p的话,说明是函数调用,也正是我们关心的。点击交叉引用中的第一项和第二项,我们可以发现还有两个dll文件被调用。

 

 

三个dll要求的基地址分别是多少?当使用OD调试该程序时,实际分配的基地址分别是多少?

  • 三个dll要求的基地址我们可以在PEiD工具中直接查看,发现都是10000000.

  • 当使用OD调试该程序时,实际分配的基地址分别是什么呢?将样例代码导入到OD中后,我们点击一个类似“M”的按钮。然后可以看见dll1和dll2的基地址。这里要注意,操作系统不同,每个人的结果可能是不一样的。

  • dll3这个动态链接库是在程序中动态加载的,利用的是函数LoadLibrary。在OD中找到LoadLibrary这个函数的位置,然后在它下面的一个位置设置断点,并让程序执行到这里。这样的话,dll3才会载入到我们的内存中。

 

 

当该程序调用DLL1.dll中的一个导入函数时,这个导入函数做了什么?

  • 回到IDA Pro中,我们往上可以看见一个函数,即Dll1Print。这个函数其实是保存在dll1这个动态链接库文件中的。于是我们再重新打开一个IDA Pro窗口,将dll1这个文件拖进去,看看有什么发现。

  • 找到Dll1Print这个函数的位置,这里有一个函数的调用,即sub_10001038,我们进去看一下,发现它有两个参数。第一个参数就是图中那个字符串,这个字符串中有个“%d”,还有个“\n”,所以我们可以说sub_10001038其实就是个printf的函数。第二个参数保存在了eax中,看上一排,它的内容其实就是dword_10008030的内容。我们双击dword_10008030看看,然后再交叉引用。

  • 一个引用的type为“w”,即写入。另一个引用的type为“r”,即读取。我们先看看第一个结果。可以看见有一个GetCurrentProcessId,于是得知dword_10008030这个变量保存的是我们当前进程的ID值。Dll1Print会把这个ID值打印出来。

当该程序调用writefile函数时,文件名是什么?

  • 先找到Writefile这个函数。

  • 我们发现它想写入的内容其实是一个网址,如图所示。

  • 但我们想知道写入的文件名是什么,所以我们应该着重分析第一个参数。即ecx中的内容,但是ecx是由hObject决定的,hObject又是由dll2ReturnJ的返回值决定的。

  • 将dll2单独载入。

  • dll2.dll中调用了两个函数,即dll2print和dll2ReturnJ。

  • 先看看dll2print。我们发现这里同样有一个类似的字符串。想要打印的内容呢,保存在dword_1000B078这个位置。我们对这个位置交叉引用一下,双击第一个type为“w”的结果。

  • 可以发现一个CreatefileA的函数,当CreatefileA这个函数被调用后,它所打开的文件的句柄就会保存在dword_1000B078这个位置,它所打开的文件就是“temp.txt”。所以说dword_1000B078这个位置保存的就是“temp.txt”的句柄。当该程序调用writefile函数时,文件名是“temp.txt”。

当该程序调用NetScheduleJobADD创建一个job时,从哪里得到第二个参数数值

  • 先找到NetScheduleJobADD的位置。

  • 关于这个函数,我们可以查看MSDN上的相关说明。

  • 它的功能就是在未来的一个指定时间提交一个任务,并且去执行。它的第二个参数是buffer,其实就是一个指针,指向一个AT_INFO的数据结构。

  • 这段程序在Writefile之后,调用了LoadLibrary将dll3加载到我们的内存当中。接着是调用GetProcAddress来获取函数Dll3Print的地址,获取地址后,通过call指令来执行Dll3Print这个函数。之后又调用了一次GetProcAddress函数,用于获取Dll3GetStructure的地址,再执行这个函数。

  • 我们再单独载入dll3。

  • 首先看看Dll3Print这个函数,这里依旧有一个类似的字符串。Dll3Print所打印的神秘数据是WideCharStr里面的内容。
  • 我们双击WideCharStr后再进行交叉引用,可以发现这个变量在dllmain中出现过。dllmain中调用了MultibytetoWideChar这样一个函数。通过MSDN得知它的功能是将多字节的形式转换成宽字符的形式。

  • 有个字符串是“ping www.malwareanalysisbook.com”,将它转换成宽字符的形式,最后将结果保存在WideCharStr中。

  • 我们再来看看函数dll3GetStructure,发现它有一个参数。这个参数就是我们当前程序中一个局部变量的地址。

  • 由图得知,将dword_1000B0A0这个地址赋给了以eax的值为地址的内存空间里面,存入的内容是什么呢?我们双击dword_1000B0A0再进行交叉引用看看,第一个结果就是对它的内容进行改写的位置。双击进去看看。可以看见一个区域中有很多mov操作,作用就是赋值呗。

  • 这个区域的起始地址就会成为NetScheduleJobADD的第二个参数的内容。这个区域就是类似AT_INFO的一个结构体。

  • 为了把这个结构体更好的显现出来,我们进行如下操作。点击Structures窗口,然后按下“insert”键,点击add standard Structure,选中AT_INFO,添加成功。然后再来到数据的位置。选中当前位置,然后点击“edit”“struct var”,再选择“AT_INFO”

  • 最后再回到dllmain的位置,可以发现,对刚刚那个区域进行转换后,更有助于我们的分析。

该程序所打印的三块数据中,三个dll的数据分别是什么?

  • dll1的数据是当前进程的ID值。

  • dll2的数据是temp.txt的句柄。

  • dll3的数据是“ping www.malwareanalysisbook.com”这个字符串在内存中的地址。

如何将dll2.dll加载到IDA中,使其与OD中加载的地址匹配?

  • 将dll2单独导入到IDA Pro中,不过要选择手动加载。
  • 这里要求我们输入dll2的基地址,我们可以在OD中查看到结果。

  • 顺利导入dll2。与OD中加载的地址成功匹配。

posted on 2017-05-30 22:10  20145326蔡馨熠  阅读(549)  评论(1编辑  收藏  举报

导航