1.下载器和启动器

从远程主机下载其他文件,数据.  启动其他程序, 启动包含在本pe中进程,dll: 通常处于资源节中.用到FindResource,LoadResource,SizeofResource函数

 

2.后门

可能有的功能: 操作注册表, 列举窗口, 创建目录文件, 搜索文件, 本地监听端口, 外连外部端口..................

3.反向shell

windows 反向shell原理: 调用createprocess函数,并操作startupinfo结构,创建cmd.exe的进程.  再创建一个socket并与远程服务器连接,然后将这个socket与cmd.exe的标准流绑定      

4.远控程序

5.僵尸网络

6.凭证获取器

7.gina拦截

xp中,为了让第3方通过添加一些代码自定义登陆过程,如令牌,智能卡等. 这样就被恶意利用,用以拦截winlogon输入的凭证

即:winlogon-> eyi.dll->msgina.dll  

但是为了正常工作,恶意代码中必须包含至少15个前缀Wlx的函数, 可以通过这个分析某模块是否是拦截了gina

8.口令hash值转存, 如pwdump

pwdump原理是通过dll注入到lsass进程(本地安全认证子系统服务),因为这个进程有足够的权限来调用能获取hash的函数?

涉及的dll和函数:samsrv.dll!samrqueryinformationuser, samigetprivatedata, advapi32.dll!systemfunction025,systemfunction027

secur32.dll!lsaenumeratelogonsessions  msv1_0.dll!nlpgetprimarycredential

 

9.键盘记录

内核级: 绑定设备到键盘设备栈栈顶

用户级:hook 和轮询实现

hook使用setwindowshookex 函数

轮询使用getasynckeystate:按键是弹起还是按下, getforegroundwindow:识别当前聚焦的窗口

所以可能通过识别这些函数判断, 一些特殊键字符串:up, num lock, down, right,left,pagedown ... 

10 存活机制

1.自启注册表

2.appInit_DLL 中的dll会被调用了user32.dll的程序加载

3.hook特殊事件:登陆,注销,关机,锁屏,在注册表winlogon的notify键中

4.伪装成服务和覆盖服务:对于svchost.exe,作为它的一个dll使用.. .....  windows服务编程?

5.修改系统dll, 如dll的入口点劫持,并插入恶意代码到dll中而不破坏dll还能正常执行代码.

6.dll加载顺序劫持

xp默认加载dll顺序: 当前目录,/windows/system32/,/windows/system/, /windows/ ,环境变量PATH的目录. 

其次优先在一个注册表为KnownDLL键中的dll搜索. 所以如果一个不在KnownDLL中的且在搜索路径后面的dll可以前面被加载目录中的dll劫持.

7.windows xp以上的管理员权限获取, sedebugPrivilege. 

即使是管理员运行程序,还是没有管理员应有的所有权限. 如果设置sedebugPrivilege 后就有了. 涉及的函数

GetCurrentProcess(), OpenProcessToken,LookupPrivilegeValue,AdjustTokenPrivileges

8.进程替换

恶意程序以挂起状态创建一个正常的进程,然后替换该进程内存空间:ZwUnmapViewOfSection,释放目标进程内存,然后再分配内存,写入恶意数据代码

到目标进程中. 隐蔽性很高

 

9.apc注入?

 

数据加密

将用到的字符串,文件进行加密. 加密算法一般选择简单的算法以达到混淆的效果即可, 开销低,可定制化高,被识别出来几率低(对于des和aes等高级加密算法)

 

 

网络特征

1.先分析关于恶意代码所有数据. 提供真实环境分析数据痕迹和行为痕迹

针对痕迹进行搜索,再收集更多的被动信息. 如果url,dns  .....

2.混入正常协议如http,https,dns. 

3.使用隧道,如dns隧道.  利用协议字段,不是该字段原有的意义

4.与服务器通信的服务器端服务不单一. 利用合法请求中嵌入恶意数据

5.网络socket api信息

 

 

对抗反汇编

反汇编算法:线性反汇编和代码流反汇编

前者一次一条反汇编字节码,从不偏离 后者根据代码流的控制指令如jmp,call等指令针对性的反汇编

对于后者. 遇到条件跳转,总会反汇编它的下一条指令. 虽然跳转可能总是跳过去,这样可以在跳转指令下面插入字符串,但反汇编器

却会对字符串进行反汇编导致错误结果. 同理call指令下面如果写入字符串,也会对call指令下面进行反汇编.导致错误.在IDA pro中

使用d快捷键解决.

1.相同目标跳转指令对抗

2.固定条件跳转指令: xor eax, eax  jz $+1

4.指令间共用: eb ff c0 jmp指令和inc eax共用 ff

3.使用函数指针

4.使用retn 和ret

5.滥用结构化异常  通过seh来进行函数调用,迷惑反汇编:

push 函数地址

push fs:[0]

mov fs:[0],esp  

看到这种代码就是设置seh

还原栈: mov esp,[esp+8]; mov eax, fs:[0] ;mov eax,[eax];mov eax,[eax];mov fs:[0],eax;add esp,8

 

反调试:

1.windows函数: isdebuggerpresent和checkremotedebuggerpresent  都是检测peb中的beingdebugged属性,修改就能绕过.作用不大

ntqueryinformationprocess 函数

使用outputdebugstring: 向调试器输出字符串,如果没被调试肯定调用失败了,getlasterror()的返回值就不是error

dword error=11111; setlasterror(error);outputdebugstring("aaa");if(getlasterror()==error){正在被调试) 

2.processheap属性和ntglobalflag 当被调试时processheap将是不为0,后者为0x70. 在windbg -hd 程序.exe 即可禁用调试堆

3.系统痕迹检测:默认调试器注册表值如果是od之类的.   容易绕过

4.int 3 扫描. 使用硬件断点即可

5.代码完整校验.

6.时钟检测: rdtsc获取时钟数到edx,eax中

7.线程本地存储tls回调. 通过注册tls,pe文件将在入口点之前执行tls回调函数. 但设置了tls会多出一个.tls节. 并且通过ida的ctrl+e可以分析tls

8.使用异常: 如果调试器处理某些异常,那么处理后就不会讲异常发给程序的异常处理函数了,这时可以检测到异常没有下发下来,就检测到了调试器

9.使用int 3(0xcd03的双字节断点干扰windbg)干扰分析人员:  自己在代码中插入int 3,让分析者误以为是自己下的断点:

push offset continue; push dword fs[0];mov fs:[0],esp ;int 3 //被调试  continue: 没被调试

int 2d断点,探测内核调试器.

10.调试器漏洞,没什么用,换个版本,换个调试器即可

 

 

反虚拟机 针对vmware

1.vmware痕迹: 安装了tool后,3个进程:vmwareservice, vmwaretray,vmwareuser. 

带vmware的服务: net start | findstr VMware. 

vmware创建的目录, 注册表,设备如网卡,bios .   ........

2.绕过vmware痕迹检测. 和软件破解差不多

3.查询i/o通信端口. 类似于这种代码:mov eax,'VMXh';mov ebx,[ebp+var_1c];mov ecx,0xA;mov dx,'VX';in eax,dx;

mov [ebp+var_24],eax,mov [ebp+var_1c],ebx; ........ mov eax,[ebp+var_1c];cmp eax, 'VMXh';jnz 地址

跟踪代码直到检测虚拟机处,修改条件跳转.等 和软件破解差不多,反正就是让它正常继续执行