第19章shellcode分析.PDFVIP

300 恶意代码分析实战 第 19 章 shellcode 分析 ? shellcode是指一个原始可执行代码的有效载荷。shellcode这个名字来源于攻击者通常会使用这段 代码来获得被攻陷系统上交互式shell的访问权限。然而，时过境迁，现在这个术语通常被用于描述 一段自包含的可执行代码。 shellcode经常与漏洞利用并肩使用，来颠覆一个运行的程序，或是被恶意代码用于执行进程注 入。漏洞利用与进程注入，在机制上与shellcode被植入到一个运行的程序并在进程启动后执行是相 似的。 shellcode的编写者需要手动执行几个软件开发者从未意识到的动作。例如，shellcode代码不能依 赖于Windows加载器在普通程序启动时所执行的如下动作： ● 将程序布置在它首选的内存位置。 ● 如果它不能被加载到首选的内存位置，那么需要应用地址重定向。 ● 加载需要的库，并解决外部依赖。 ● 本章会向你介绍这些shellcode技术，并使用现实世界中的完整例子演示。 19.1 加载shellcode进行分析 在一个调试器中加载和运行shellcode是有问题的，因为shellcode通常只是一个二进制数据块，它 不能像一个普通可执行文件一样运行。为了使事情更简单一些，我们将使用shellcode_launcher.exe （包 括实验样本都可以在/ 中获得），来加载并跳转到shellcode片 段。 正如本书第5章讨论过的那样，加载shellcode到IDA Pro 中进行静态分析是相对简单的，但用户必须 在加载过程中提供输入，因为没有可执行文件格式来描述shellcode的内容。首先，你必须在加载进程 对话框中选择正确的处理器类型。对于本章中的样本，你可以在提示时选择Intel 80x86 processors:metapc 处理器类型，并选择32-bit disassembly 。IDA Pro加载这段二进制代码，但不会执行自动分析过程（分 析必须手动完成）。? 第19章 shellcode分析 301 19.2 位置无关代码? 位置无关代码（PIC ）是指不使用硬编码地址来寻址指令或数据的代码。shellcode就是位置无关 代码。它不能假设自己在执行时会被加载到一个特定的内存位置，因为在运行时，一个脆弱程序的 不同版本可能加载shellcode到不同内存位置。shellcode必须确定所有对代码和数据的内存访问都使用 PIC技术。 表19-1为几种常见的x86代码与数据访问类型，以及它们是否是PIC代码。 表19‐1 不同类型的x86代码和数据访问? 在这个表中，call指令包含一个32位有符号相对位移值，通过将它和紧跟它后面的地址相加， 计算出这个目标位置。因为表中显示的call指令位于0x0040103A，加上 处偏移值0xFFFFFFC1到这 个指令的位置，再加上call指令的大小（5字节），结果调用目标地址0。 这个表中的jnz指令除了仅使用一个8位的有符号相对位移值外和call非常类似。jnz指令位于 0x0040103A处。将在指令中 处（0xe ）保存的偏移值与该指令大小（2字节）加到一起，产生的结 果是跳转至目标地址0。 如你所见，像call和jump这样的控制流指令已经与位置无关了。这些指令的目标地址是通过将 EIP寄存器指定的当前位置加上一个保存在指令中的相对偏移值来进行计算的。（某些形式的call 和jump允许程序员使用绝对的或者非相对的不是位置无关的寻址方式。 处的mov指令显示了一个访问全局数据变量dword_407030的指令。这个指令中的后4个字节显示 内存位置0。这个特别的指令并不是位置无关的，所以shellcode编写者必须避免使用它。