恶意代码分析实战 14 反虚拟机技术

news2025/1/15 23:36:38

14.1 Lab17-01

题目

  1. 这个恶意代码使用了什么反虚拟机技术?

恶意代码用存在漏洞的x86指令来确定自己是否运行在虚拟机中。

  1. 如果你有一个商业版本IDAPro,运行第17章中代码清单17-4所示的IDAPython脚本(提供如jindAniM.py),看它发现了什么?

使用IDA载入脚本文件。
vmware_eEk2wxYTjH.png
给出了地址。
vmware_vly6wWcQod.png
vmware_caaTNmf4BZ.png
vmware_xcMxKVCHxf.png

  1. 每种反虚拟机技术成功执行后会发生什么?

第一处:
vmware_e6v2LyfLoH.png
vmware_9VVxyiq7BC.png
vmware_VxsrDBHiMx.png
这串字符串进行了修改。
查看调用函数的位置。
vmware_YNB4o8KVe9.png
使用OD查看,EAX被赋值为了00DDCC000h,将会跳转,而不会创建线程。
第二处:
vmware_nqyGofHoU6.png
检测虚拟机特征。
检测到之后,删除自身。
vmware_SNclTLcPY0.png
第三处:
vmware_ePP5QwmysK.png
检测到之后不会执行创建服务的操作。

  1. 针对你的虚拟机,这些反虚拟机技术中哪些技术会生效

使用OD检查可知,所有的操作都会失效。可能与虚拟机的内核数量有关。

  1. 为什么每个反虚拟机的技术,会生效或失败?

sidt指令:多核机器上进行实验,ECX寄存器的值不是0xFF,所以失效。
str指令:本机上的特征码0x28.
sldt指令:在0x4012D6处设置断点,发现EAX等于0xDDCC000h.

  1. 怎么便这些反虚拟机技术无效,从而让恶意代码运行

你可以用NOP替换sidt和str指令,或者在调试恶意代码时,实时改变跳转标志。

14.2 Lab17-02

题目

  1. 这个DLL导出了什么?

查看导入函数。
vmware_28mYlkOV5I.png
存在对注册表的操作。
查看导出。
vmware_4Vg7jNghtA.png
导出函数是InstallRT、 InstallSA、 InstallSB、 PSLIST、ServiceMain、StartEXS、UninstallRT、UninstallSA, 以及UninstallSB。

  1. 尝试使用rundll.32.exe安装后,都发生了什么?

vmware_e6VLZuYY7d.png
使用ProMon查看。
vmware_x6n3qeRkEH.png
新建了xinstall.log文件和vmselfdel.exe文件。
但他又将vmselfdel.exe文件删除了。

  1. 它创建了哪些文件,这些文件都包含什么内容?

vmware_TTHBcoxQgD.png
创建一个包含自我删除代码的.bat文件,同时还创建一个包含字符串FoundVirtualMachine,InstallCancel的xinstall.log文件。

  1. 它使用何种反虚拟机方法?

使用IDA查看该文件。通过交叉引用查询到文件创建的位置。
vmware_oDjneHqnfP.png
反虚拟机技术实现的函数。
vmware_YZXBrWc26a.png
恶意代码正在使用in指令查询IO通信端口(0x5668)(VMware在虚拟机与宿主操作系统之间使用虚拟IO端口通信)。这个虚拟端口被载入到EDX,在前一条指令中,执行的动作被载入ECX。本例中,动作是xA,它表示“获取VMware的版本类型”。magic数0x564d5868(VMXh)被载入到EAX,在in指令后,恶意代码使用cmp指令,检查magic数的回应(如所示)。比较结果被送入变量var1c,最后作为函数sub10906196的返回值送入AL。

  1. 在恶意代码运行时,怎么强制安装它。

这个恶意代码似乎并不关心VMware的版本。它仅仅想用一个magic值来查看IO通信端口的回应。在运行时,我们可以用NOP替换in指令,绕过后门IO通信端口技术。插入NOP可以使程序完成安装。

  1. 怎样可以永久禁用这些反虚拟机技术?

为了永久性禁用VM检查,用十六进制编辑器将二进制文件中的静态字符串从[This is DVM15修改为[This is DVM]。另外,使用OllyDbg用NOP替换检查指令,并且将修改写入硬盘。

  1. 每个安装的导出函数是如何工作的?

InstallRT:通过带有被注入进程可选参数的DLL注入来执行安装
InstallSA:通过服务安装来执行安装
InstallSB:通过服务安装来执行安装,如果覆盖的服务正在运行,那么使用DLL注入来安装。

14.3 Lab17-03

题目

  1. 当你在虚拟机中运行这个恶意代码时会发生什么?

使用ProMon进行监控。
vmware_aFJphqvxJ6.png
与Lab12-2不同的是,当这个恶意代码在虚拟机中运行时,它会立即终止。另外这个恶意代码在svchost.exe上执行了进程替换。

  1. 怎么让这个恶意代码运行,并且关闭它的键盘记录呢?

使用插件,查找x86漏洞。
vmware_kreA3EyYS4.png
这个脚本在0x401ac8处识别了一个反虚拟机指令,以红色高亮显示。我们注意到这是一个通过in指令查询的后门I/O通信端口。这个反虚拟机技术包含在被IDA Pro标注为sub_401A80的函数中。如果他运行在虚拟机中,这个函数返回1,否则返回0.这是main函数开始处唯一的一个交叉引用。
vmware_0fi5D4ApxM.pngvmware_KhTndNVbyb.png
jz指令必须被移除,否则会跳转到0x401a71处,让main方法立即终止。当运行到jz指令时,我们置位零标志位来禁用这种反虚拟机技术。要永久禁用这种反虚拟机技术,将test指令按如下步骤改为xor eax,eax。

  1. 启动OD,将光标放在行0X40199F上。
  2. 按空格键,在文本框中输入xor eax, eax。
  3. 单击Assemble。

查看该函数的交叉引用。
image.png
来到main函数。
chrome_Qi5AdYE8Fb.png
可以看到该函数的返回值会通过test,jz指令影响程序的执行如果是往左边走。
chrome_3o8wgyfuim.png
是直接就结束了,很明显,我们是希望往右边走,那么我们就要保证eax为0,为了实现给eax赋0,我们可以将test修改为xor。
查看string窗口。
chrome_njEdcN9o1k.png
上图显示为阴影的字符串似乎是一个注册表的路径,上面的GetAdapterInfo是用于获取网络适配器相关信息的函数,这类注意到vmware,我们分析一下,双击后查看交叉引用。
chrome_67a4OgmMUj.png
跟入sub_4011c0,看看它交叉引用图。
chrome_sYuhOeMY8W.png
可以看到调用了多个注册表相关函数,最重要的是上图圈起来的,有一个循环的箭头,表示它还会调用自身。我们可以推测这是在注册表中递归检查字符串vmware,分析sub_4011c0。
chrome_VOXz5UsC04.png
这里有个循环结构,这是在循环遍历DeviceClasses下的注册表子键
调用sub_401060。
chrome_FvVGmy0jCs.png
跟入可知其作用是将字母转为小写。
chrome_wlx8JbVfkg.png
在将每个子键名的前6个字节转为小写后,与字符串vmware进行比较,查看sub_4011c0交叉引用。
chrome_mAk0rrrfVw.png
跟入在main函数中调用的地方。
chrome_2uLYyffk4N.png
在其调用之前,有三个push,说明有三个参数,其中之一就是之前看到的注册表的路径,所以猜测函数就是从这个路径开始递归检查注册表的,这就是对系统驻留痕迹的检查,我们希望能够实现004019c0的跳转,所以我们将test改为xor即可确保零标志位置位,接着我们看看GetAdapterInfo字符串,双击后查看交叉引用。
chrome_IBeADS4tb6.png
来到main。
chrome_1SEhcNEJto.png
通过LoadLibraryA和GetProcAddress动态解析GetAdapterInfo,并将地址保存在dword_403114,这里可以将其重命名为GetAdapterInfo_Address,查看其交叉引用。
chrome_rdBsFsKBJ7.png
跟入第一处。
chrome_N6LDpAh6vC.png
其上是一系列字节mov,一共有27条,双击Var_38,将其设置为一个大小为27字节的数组来将这些mov字节初始化Wie一个字节数组,如下操作,右键。
chrome_Nta1bMabJQ.png
Array Size设为27。
chrome_KwnkTzker6.png
修改完成后如图所示。
chrome_ef8fEPEMAm.png
可以将var_38重命名为Byte_Array。
chrome_6F5FocFw0S.png
在调用GetAdapterInfo时可以看到,其有两个参数,查阅MSDN文档可知。
chrome_Ds6I36IQuC.png
两个参数分别为IP_ADAPTER_INFO结构的链表和链表的长度而对应着IDA可知,传入的链表为NULL,传入的链表大小来自dwBytes一般来说,在调用GetAdapterInfo_Address时,设置它的第一个参数为NULL是找出函数返回数据大小的简单方法,从而为第二个GetAdapterInfo_Address调用使用的链接结构分配内存。所以我们可以在之后简单GetProcessHeap,HeapAlloc使用dwBytes。
chrome_LXV91XSMyJ.png
调用HeapAlloc为再次调用GetAdapterInfo_Address分配内存,其返回值在lpMem。
chrome_5pqA27JnVB.png
在第二次调用GetAdapterInfo_Address时可以看到传入的第一个参数不是NULL,而是IpMem,随后,lpMem成了大小为dwBytes的IP_ADAPTER_INFO结构链表的一个指针,我们需要在IDA中添加IP_ADAPTER_INFO结构,来到structure窗口,按insert键。
chrome_QKwsM42p1y.png
恢复后:
chrome_PYkbtBGQ4x.png
004017d0:给ecx赋3
004017e2:var_3c赋给eax
004017e5:使用eax索引Byte_Array
将Byte_Array中的一个索引与当前的IP_ADAPTER_INFO.Address比较
由于ecx被赋3,所以004017f4处的repe cmpsb指令会将IP_ADAPTER_INFO.Address的前三个字节与Byte_Array比较
Byte_Array内容:
光标定位到Byte_Array,按x键。
chrome_3wZLwgyeNY.png
也就是说此处是在查看MAC地址的前三个字节是否为{00h,50h,56h}或者{00h,0ch,29h}等
我们查到,00,0c,29是VMware MAC地址的默认开始。由于数组长度为27,所以可知此处比较了9个不同的MAC地址为了避免这种技术的检测,我们可以将40169f的jnz指令改为jmp 0x40184a。
chrome_W7gxxXWmdI.png
这样就可以跳过MAC地址的检查,直接到资源节操纵代码,恶意代码最后一处针对虚拟机的检查在sub_401400。
chrome_s9p5LxDq44.png
跟入该函数。
chrome_CMLdiOyIpG.png
调用了sub_401130,可以看到传入的两个参数分别为6和0f30d125ah,该函数返回值将决定jz指令时候会跳转,跟入这个函数。
chrome_eWTeYF0wPD.png
通过上图看到的几个关键函数和循环结构可知,这是在遍历进程列表。
之后调用了sub_401060,其参数之一是进程名称,这函数用于将字母转成小写,之后调用sub_401000,其参数为arg_4,以及sub_401060的返回值,也就是其返回的小写字符串,而sub_401000的返回值会在00401195处的cmp与arg_0比较。
回溯可知。
chrome_8chQmuFE4X.png
arg_0就是F30D125A,如果00401195处比较结果相等,则走右边。
chrome_u4lsNo1YgQ.png
eax被赋1,恶意代码终止,sub_401000将进程名称转换为一个数字,然后将数字与预设值比较。Sub_401000是一个简单的字符串hash函数,如果给定的参数是vmware,则返回0xF30D12A5.从而终止恶意代码,为了禁用这个检查反虚拟机检查的部分,可以用nop替换到40145d处的sub_401130调用。
我们可以使用nop指令将位于0x0040145D的指令填充掉即可。

  1. 这个恶意代码使用了何种反虚拟机技术?

这个恶意代码使用了如下4种不同的反虚拟机技术:使用后门I/O通信端口。搜索在注册表键SYSTEM\CurrentControlSet \Control \DeviceClasses下的vmware字符串。检查MAC地址,查看它是否是VMware默认使用的MAC地址。用字符串哈希函数来搜索进程列表中以字符串vmware开头的进程。

  1. 你可以对系统做什么样的变化,从而使你能够永久避免恶意代码所使用的反虚拟机技术?

为了逃避这个恶意代码使用的反虚拟机技术,你可以卸载VMware工具并修改MAC地址。

  1. 为了让反虚拟机技术永久失效,你该如何用OllyDbg对二进制文件进行修补?

在OllyDbg中,你可以采用下面的补丁:
用NOP替换0x40145D处的指令。
修改0x40199F 和0x4019BE处的指令为xor eax,eax。
修改0x40169F 处的指令为jmp θx40184A。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/178584.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

spring boot前后端交互之数据格式转换

在前后端分离开发的项目种,前端获取数据的方式基本都是通过Ajax。请求方法也有所不同,常见的有POST,GET,PUT,DELETE等。甚至连请求的数据类型都不一样,x-www-form-urlencodeed,form-data,json等。 那么在前后端交互过程中,具体的数据该如何接…

ESP32设备驱动-8x8LED点阵驱动(基于Max7219+SPI)

8x8LED点阵驱动(基于Max7219+SPI) 1、Max7219介绍 MAX7219/MAX7221是紧凑型串行输入/输出共阴极显示驱动器,可将微处理器(Ps)连接到多达8位的7段数字LED显示器、条形图显示器或64个独立LED。片上包括一个 BCD 代码 B 解码器、多路扫描电路、段和数字驱动器,以及存储每个数字…

通信电子、嵌入式类面试题刷题计划04

文章目录036——看门狗电路的作用是什么?【社招】037——你了解CAN总线协议吗?说一说你的理解【社招】038——锁存器、触发器、寄存器三者的区别?【校招】039——D触发器和D锁存器的区别是什么?【校招】040——三极管和MOS管的区别…

Cadence PCB仿真使用Allegro PCB SI生成单网络EMI报告Single Net EMI Report及报告导读图文教程

🏡《Cadence 开发合集目录》   🏡《Cadence PCB 仿真宝典目录》 目录 1,概述2,生成报告3,报告导读4,总结1,概述 单网络EMI报告是值将差分模式下的网络视为单个网络,分析来自时钟上升沿的辐射影响。本文简单介绍使用Allegro PCB SI生成单网络EMI报告的方法,及Singl…

搜索引擎位置跟踪应用SerpBear

什么是 SerpBear ? SerpBear 是一款开源搜索引擎位置跟踪应用程序。它允许你跟踪你的网站在谷歌中的关键词位置,并得到他们的位置通知。 软件特点: 无限关键词:添加无限域名和无限关键词以跟踪其 SERP电子邮件通知:每天/每周/每…

车载以太网简介

车载以太网简介 基本概念 传统车载网络 LIN:用于通信速率低的场景,比如车窗、座椅等。CAN:目前车载网络首先,低成本高可靠。FlexRay :具备故障容错的车载总线系统。MOST:内置流媒体数据信道,…

2023年企业信息安全缺陷和解决方案,防止职员外泄信息

随着网络的发展和普及,信息安全与每个人息息相关,包含方方面。每个人既是独立个体又必须和社会交换资源。这就需要把控一个尺度。 要了解信息安全,首先需要对信息有个大体了解。从拥有者和使用者分类分为,个人,企业&a…

恶意代码分析实战 11 恶意代码的网络特征

11.1 Lab14-01 问题 恶意代码使用了哪些网络库?它们的优势是什么? 使用WireShark进行动态分析。 使用另外的机器进行分析对比可知,User-Agent不是硬编码。 请求的URL值得注意。 回答:使用了URLDownloadToCacheFileA函数&#…

JavaEE多线程-定时器

目录一、定时器1.1 什么是定时器?1.2 定时器的构成二、简单实现定时器一、定时器 1.1 什么是定时器? 定时器是多线程编码中的一个重要组件,它就好比一个闹钟,例如我们想去坐车,但是不想现在去坐车,想8:30去坐车,于是我们订了一个8点钟的闹钟,也就是说定…

Linux内核驱动初探(四) 内部看门狗

目录 0. 前言 1. menuconfig 2. 设备树 3. 拓展试验 0. 前言 这次的内部看门狗驱动也比较顺利,重点看了 原理图和4.19.x 内核的配置。 内部看门狗设备名叫做 /dev/watchdog 。 1. menuconfig 我们在 linux-menuconfig 里面如下设置:进入 Device D…

[Java]JavaWeb学习笔记(动力节点老杜2022)

文章目录🥽 Tomcat服务器🌊 下载与安装🌊 关于Tomcat服务器的目录🌊 启动Tomcat🌊 实现一个最基本的web应用(这个web应用中没有java小程序)🥽 静态资源与动态资源🥽 模拟…

GPU虚拟化(留坑)

文章内容大程度参考B站王利明老师对《GPU虚拟化技术分享》的演讲:https://b23.tv/uQKBpcK GPU 有什么用? GPU可以用于图形渲染,也能够用于高性能计算和编解码等场景。 图:GPU 的典型软件架构(不含虚拟化) …

注解存储对象到Spring,详解 五大类注解 和方法注解

上一篇博客我们介绍了如何使用xml来引入bean对象,当项目多的时候,显然那样是比较麻烦的。现在我们只需要 个注解就可以替代了。注意:注解和xml可以同时使用准备工作:配置扫描路径我们需要配置 下存储对象的扫描包路径,只有被配置的…

【笔记】openwrt - full cone NAT(全锥NAT)、解决“arp_cache: neighbor table overflow!”

最近安装了比特彗星(bitcomet)后,老是收到警告说日志的接收超过每秒上限了。一看日志,好家伙,一堆的kern.info kernel: [194004.157620] neighbour: arp_cache: neighbor table overflow!日志,还是kernel的…

损失函数总结

回归损失与分类损失 回归用于逼近某个数值,预测的结果是连续的,例如预测小明的身高,160,161,162,163cm。平方损失即MSE: 分类用于预测物体属于某一个标签,预测的结果是离散的,例如预测明天是否下雪:是or否。 由于预测分类,最终的输出需要介于(0,1)之间,通常在网络…

Redis消息队列 | 黑马点评

目录 一、认识消息队列 二、List模拟消息队列 三、PubSub的消息队列 四、Stream的消息队列(重点) 1、单消费模式 2、消费者组 五、redis三种消息队列对比 六、优化秒杀实战 1、创建消息队列 2、修改下单脚本 3、接收消息处理 一、认识消息队列 …

设计模式 - 创建型模式_工厂方法模式

文章目录创建型模式概述CaseBad ImplBetter Impl (⼯⼚模式优化代码)创建型模式 创建型模式提供创建对象的机制, 能够提升已有代码的灵活性和可复⽤性。 类型实现要点工厂方法定义⼀个创建对象的接⼝,让其⼦类⾃⼰决定实例化哪⼀…

【蓝桥杯-筑基篇】基础数学思维与技巧(1)

🍓系列专栏:蓝桥杯 🍉个人主页:个人主页 目录 1.一百以内的AB 2.小学生算术求进位次数 3.最大公约数 4.最小公倍数 5.十进制转换其他进制 6.其他进制转十进制 7.天空数 8.求集合的所有子集 9.判断一个数是否为2的次方数 10.二进制中1的个数 1.一…

ISIS简介、NSAP与NET地址、Router-Id转换成NET地址

2.0.0 ISIS简介、NSAP与NET地址、Router-Id转换成NET地址 ISIS简介 IS-IS(Intermediate System-to-Intermediate System)中间系统到中间系统。 1、该协议最初是ISO国际标准化组织为CLNP(Connection Less Network Protocol,无连接…

HashMap 正解

HashMap 实现原理 以及扩容机制 HashMap 的 put 以及扩容基本实现 数据结构 上述截图是 HashMap 的内部存储的数据结构。大体上是通过 hash 值来获取到对应的下标。如果当前下标为 null 的话,直接创建并设置一个新的节点,反之就是添加到该链表的最后 pu…