软件逆向在电子取证中的用处-钱林松.pdfVIP

软件逆向分析在电子数据司法鉴定中的应用 钱 林 松 什么是逆向工程 起源 软件逆向分析 • 灰盒测试 • 动态调试 • 静态分析 • 反编译 • 反汇编 让我们从案例开始 • 背景介绍：“淘宝客” • 逆向分析的目的：通过分析样本行为和 技术细节，进而挖掘作者信息，为进一步 分析提供条件 • 说明：略过加载驱动，文件过滤、网络过滤 技术的介绍，直接介绍该样本的关键行为 淘 宝 客 • 将用户拦截、导向到指定页面 来源：金山毒霸 • 日感染量：1460 样本的行为分析 • 解密注册表信息及配置文件 • 样本将拦截的http特征字符串 • 样本对http流进行的替换 • 样本最终对用户的影响 行为分析—特征字符串 • 该样本内部保存了一组杀毒软件网站常用的HTTP特 征字串数组 行为分析 — http拦截 • 当样本拦截到http请求以后,会 遍历此特征字符串数组,并检查 http请求是否符合杀毒软件请求 的特征 • 如果是，就用一个关闭http的请 求进行替换 行为结论 • 此样本对杀毒软件网址进行拦截，并修改http请求， 以达到阻止杀毒软件正常访问服务器或上传样本的 目的。 行为分析—发现加密的配置文件 • 该样本在注册表 \REGISTRY\MACHINE\SYSTEM\Curre ntControlSet\Control的 CurrentUserData键内保存了购物 网站的配置信息, 这个配置信息是 经过加密处理的。 行为分析—要拦截的网址特征字符串 行为分析—替换http请求 替换请求并向下发送 从样本中提取到的淘宝PID mm3322984 mm3323295 mm3322988 mm3322997 mm3323013 … … 行为结果—浏览器url被篡改 • 所圈内容就是被篡改的淘宝PID 行为结论—恶意软件 • 该样本在未得到授权的情况下，影响安全软件的正 常工作，拦截并篡改用户的http请求，尤其是目标 为购物网站类的请求。其行为影响操作系统以及数 据的完整性、可控性和保密性，已经满足恶意程序 的鉴定条件。 样本特征及开发团队跟踪 • 驱动特征分析 • 配置文件名及路径特征分析 • 服务器地址/IP特征分析 驱动名称和符号链接 驱动符号和符号链接 配置文件名和路径 升级的URL及IP地址 • 有一个线程每隔6小时查询注册表 \REGISTRY\MACHINE\SYSTEM\Curr entControlSet\Control\Network 的AuthenticationD值.并进行解 密 URL及IP定位 升级的URL或IP地址 • 经解密得样本的更新地址： • xml.*****.net:83/union/upload/27/27.ini 通过whois及搜索引擎挖掘域名信息 • 该团队拥有正在销售的商业产品， 而且是自主开发的。 • 根据其产品描述,是一款基于 windows 系统驱动开发的磁盘过 滤技术的****软件,而该样本应 用了驱动技术。而且同样有磁盘 驱动. 两个程序的关键技术接近， 说明该公司具备开发此样本的技 术条件。 锁定目标 开发团队跟踪 锁定目标 分析结束了？ To be continued… 同源性分析 • 驱动符号同源分析 • 注册表结构同源分析 • 解密函数同源分析 • URL服务器同源分析 驱动符号同源分析 • 另一个样本，时间关系，略去行为分