在这里插入图片描述



纪年科技aming
网络安全 ,深度学习,嵌入式,机器强化,生物智能,生命科学。

叮叮叮:产品已上线 —>关注 官方-微信公众号——济南纪年信息科技有限公司
民生项目:商城加盟/娱乐交友/创业商圈/外包兼职开发-项目发布/
安全项目:态势感知防御系统/内网巡查系统
云服项目:动态扩容云主机/域名/弹性存储-数据库-云盘/API-AIeverthing
产品咨询/服务售后(同)

纸上得来终觉浅,绝知此事要躬行 !!!
寻找志同道合伙伴创业中。。。抱团滴滴aming联系方式!!


#本文为广告系统自动投放广告

# 如有侵权 删改 请速速联系我们




本科/专科信息安全专业

计算机网络、操作系统




实验目的
本章的实验我们着重关注
恶意代码的反虚拟机技术及相应的对抗方法。

在本实验中,我们将会学习恶意代码
如何实现magic数比较、
查询vmware在虚拟机与宿主操作系统之间的虚拟I/O端口等高级技术来实现反虚拟机的目的,

并学会如何使这些技术失效,这对于我们实际的恶意代码分析工作是非常有启发意义的。




预备知识
1.IDA Pro
IDA Pro是一款交互式的,可编程的,可扩展的,多处理器的,
交叉Windows或Linux WinCE MacOS平台主机来分析程序,
被公认为最好的花钱可以买到的逆向工程利器。

IDA Pro已经成为事实上的分析敌意代码的标准并让其自身迅速成为攻击研究领域的重要工具。
它支持数十种CPU指令集其中包括
Intelx86,x64,MIPS,PowerPC,ARM,Z80,68000,c8051等等。

2.Peview
一款功能强大的PE文件查看器,采用汇编语言程序设计而来,
可以查看dll、lib等库文件,
显示详细的文件内容,对做编程的朋友来说比较常用,还支持查看coff文件。




实验环境
服务器:Windows 7

辅助工具:peview,IDA Pro




Q1.这个DLL导出了什么?

Q2.尝试使用rundll.32.exe安装后,都发生了什么?

Q3.它创建了哪些文件,这些文件都包含什么内容?

Q4.它使用何种反虚拟机方法?

Q5.在恶意代码运行时,怎么强制安装它。

Q6.怎样可以永久禁用这些反虚拟机技术?

Q7.每个安装的导出函数是如何工作的?

PS:本实验代码只对VMware虚拟机有效




dll文件载入peview
在这里插入图片描述

可以看到大量的导入函数,包括:

RegSetValueEx:操作注册表

ChangeService:操作服务

BitBlt:屏幕抓取

CreateToolhelp32Snapshot:列举进程

CreateRemoteThread:进程注入

WS2_32.dll:网络功能

还有导出函数
在这里插入图片描述

这些导出函数基本都是用于恶意代码的安装与卸载

Q1.这个DLL导出了什么?

A1.

导出函数
是InstallRT、 InstallSA、 InstallSB、 PSLIST、 ServiceMain、 StartEXS、UninstallRT、UninstallSA,
以及UninstallSB




在这里插入图片描述

上图中ServiceMain说明恶意代码可能作为一个服务运行
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

接下来我们运行,并用process monitor监控
在这里插入图片描述

设置好过滤器

然后使用rundll32.exe运行
在这里插入图片描述
在这里插入图片描述

在这里插入图片描述

此时在我们原先放置Lab17-02.dll的目录下,该dll被删除了,多了一个xinstall.log
在这里插入图片描述

打开文件,内容如下

在这里插入图片描述

说明二进制程序中存在反虚拟机技术

Q2.尝试使用rundll.32.exe安装后,都发生了什么?

A2.DLL被从系统中删除,同时多了一个log文件。




检查process monitor的监控结果
在这里插入图片描述

有创建、读写log的行为,同时可以看到创建一个bat文件,推测这是用于删除使用的
在这里插入图片描述在这里插入图片描述

接下来我们使用IDA继续分析
在这里插入图片描述

打开strings窗口搜索bat关键字符串
在这里插入图片描述

双击,然后查看交叉引用
在这里插入图片描述

在这里插入图片描述

跟入sub_100056667
在这里插入图片描述

可以看到这个函数就是用于写入bat文件的自删除脚本代码
在这里插入图片描述
在这里插入图片描述

Q3.它创建了哪些文件,这些文件都包含什么内容?

A3.
创建一个包含自我删除代码的.bat文件,
同时还创建一个包含字符串Found Virtual Machine,Install Cancel的xinstall.log文件。
在这里插入图片描述




对该函数查看交叉引用 s
在这里插入图片描述

先跟入第一处InstallRT
在这里插入图片描述

在调用的上方,看见了我们在xinstall,log中看到的字符串,而其前后都调用了sub_10003592

在这里插入图片描述

跟入后可知

第一处调用是为了打开xinstall.log

在这里插入图片描述

第二处则是为了写入那个字符串
在这里插入图片描述

回到上层函数,我们可以看到有两条路径可以走到

在这里插入图片描述

绿色的是在调用sub_10006119,红色的多调用了一个sub_10006196
在这里插入图片描述
在这里插入图片描述

sub_10006119如下所示

这是用于清零eax
在这里插入图片描述

来看看sub_10006196
在这里插入图片描述

在这里插入图片描述

100061c7处,magic数0x564d5868(VMXh)被载入到EAX
在这里插入图片描述在这里插入图片描述

100061d1将执行动作0xA载入ECX,0xA表示获取VMware的版本信息
在这里插入图片描述

100061D6将虚拟端口0x5658载入到EDX

100061db处代码使用in指令查询I/O通信端口(0x5668)
(vmware在虚拟机与宿主操作系统之间使用虚拟I/O端口通信)
在这里插入图片描述

100061dc处通过cmp检查magic数的回应
在这里插入图片描述

100061e2处比较结果被送入var_1c
在这里插入图片描述

在100061fa将var_1c送入AL

可以看到这里在检测虚拟机时,不关心vmware的版本,而只是通过magic值来查看I/O通信端口的回应

在运行时,我们可以用NOP替换in指令,绕过后门I/O通信端口技术,使得程序完成安装

在这里插入图片描述

Q4.它使用何种反虚拟机方法?

A4.恶意代码使用x86指令in,用magic值VX和动作0xA查询VMware的后门I/O通信端口。

Q5.在恶意代码运行时,怎么强制安装它。

A5.为了安装恶意代码,在它运行过程中修补0x100061DB处的in指令。




在这里插入图片描述

我们继续分析InstallRT
在这里插入图片描述

通过atoi将字符串转为数字,要转换的内容中在off_10019034
在这里插入图片描述
在这里插入图片描述

[This is DVM]5被载入EAX
在这里插入图片描述

然后与0xD (16进制 --12)相加,相当于将字符串指针移到了5的位置
在这里插入图片描述

然后通过atoi将字符串5转为数字5

之后通过test指令查看转换后的数字是否为0
在这里插入图片描述

如果不为0,则会往左边走,接着就会执行虚拟机的检测操作
在这里插入图片描述

所以我们如果将字符串[This is DVM]5修改为[This is DVM]0,这样恶意代码就不会进行虚拟机检测了

Q6.怎样可以永久禁用这些反虚拟机技术?

A6.
为了永久性禁用VM检查,
用十六进制编辑器将
二进制文件中的静态字符串从[This is DVM]5修改为[This is DVM]0。
另外,使用OllyDbg用NOP替换检查指令,并且将修改写入硬盘。




我们在下图的静态配置选项中

在这里插入图片描述

看到了端口80,域名newsnews.practicemalwareanalysis.com
在这里插入图片描述

而[This is log]1似乎可以通过LOG选项来确定是否应该创建和使用xinstall.log
在这里插入图片描述

我们继续分析InstallRT

跟入sub_1000D3D0
在这里插入图片描述

在这里插入图片描述

 赋值用

首先将恶意代码复制到windows系统目录

调用strlen计算字符串长度,

在这里插入图片描述
如果长度为0(即没有参数),则使用iexplore.exe作为默认进程名,
在这里插入图片描述

它将被作为恶意代码dll注入的目标进程

在1000d53a处调用了sub_10004249
在这里插入图片描述

从其调用的函数来看,不难知道该函数是用于查找进程列表中的目标进程
在这里插入图片描述

sub_10004249返回值保存在eax,又赋给了esi
在这里插入图片描述
用于查找进程列表中的目标进程

在这里插入图片描述

如果找到了目标进程,
则在调用sub_1000d10d时通过dwProcessId参数使用目标进程的PID,跟入该函数

在这里插入图片描述

上图列出的函数都是进程注入时常见的函数调用
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

那么我们就清楚了,InstallRT是通过dll注入来启动恶意代码的

接下来分析InstallSA

大部分和InstallRT是差不多的,区别在于最后调用了sub_1000d920,跟入该函数
在这里插入图片描述

在1000dbc4调用了CreateServieA创建服务
在这里插入图片描述
在这里插入图片描述

创建服务之后,

InstallSA设置ServiceDLL路径为这个恶意代码在windows系统目录中的路径
在这里插入图片描述

最后看看InstallSB

这里调用了sub_10005a0a和sub_1000df22,先看sub_10005a0a
在这里插入图片描述

从其调用的函数和字符串来看,在这里插入图片描述
在这里插入图片描述
作用是用于禁用windows的文件保护

再看看sub_1000df22

其带有一个包含服务名的可选参数,默认为NtmsSvc
在这里插入图片描述

恶意代码用这个参数覆盖本地系统中的一个服务。
在这里插入图片描述

在这里插入图片描述

默认情况下,如果NetmsSvc服务正在运行,
恶意代码会停止这个服务,用自身覆盖windows系统目录中的ntmssvc.dll。
在这里插入图片描述

最后,恶意代码尝试再次启动这个服务,如果恶意代码不能启动这个服务,恶意代码就执行dll注入

Q7.每个安装的导出函数是如何工作的?

A7.
InstallRT 通过带有被注入进程可选参数的DLL注入来执行安装。
InstallSA 通过服务安装来执行安装。
InstallSB 通过服务安装来执行安装,如果覆盖的服务仍在运行,则使用DLL注入来安装。

配套学习资源
1.《恶意代码分析实战》