木马脱壳技术在电子数据取证工作中的应用.pdfVIP

木马脱壳技术 在电子数据取证工作中的应用 中国刑事警察学院 罗文华 摘 要：在实际的电子数据取证工作中，经常会碰到木马服务端与客户端如何通信联系方面的鉴定要求。而目前木马 恶意程序绝大多数都进行了加壳的保护，要彻底查明木马恶意行为首先需要对其进行脱壳。本文依托一个来 源于实际工作的真实案例，描述了针对一个盗取魔兽世界游戏账号与密码的木马，进行查壳、脱壳及后续分 析的全过程，并着重突出了脱壳环节，采用了更具普遍意义的手工脱壳方式进行脱壳，希望能够为公安实战 部门的电子数据取证和侦查工作提供一定的技术帮助。 关键词：木马 加壳脱壳 逆向分析 一、引言 二、木马脱壳技术 在电子数据取证工作中的应用实例 网络上有害信息形式多样，其中以信息收集型木马 为首的恶意程序不仅给网民的隐私、财产安全带来威 1.案情背景 胁，而且还严重影响了整个网络秩序，一些不法分子为 2009年8月，连续多名受害人向某地公安机关报案 了牟取暴利或达到政治目的，专门制贩、传播有害木 称自己的魔兽世界游戏账号被盗，经过服务商找回账号 马，很多木马程序能逃脱大部分杀毒软件及木马查杀软 后发现账号电子货币和游戏装备被盗一空，每人损失少 件，使受害者防不胜防。目前，网络上的木马恶意程序 则几百元，多则上万元。经过相关部门办案人员对受害 基本上都进行了加壳保护，公安实战部门对其进行调试 人使用过的网吧计算机进行勘查，在计算机硬盘上发现 分析前，首先要进行脱壳操作。因此着重从电子数据取 一种名为“老A魔兽在线破保马”的木马恶意程序。 证角度研究木马脱壳技术，探讨配合工具及手工方法破 经过进一步调查，办案人员找到了该木马恶意程序 解多种类型木马壳的方法，能够为公安实战部门提供相 的生成器，其生成的木马能够用来盗取魔兽世界的账 关方面的知识储备，有助于办案人员更有效的打击以木 号、密码并在线破解魔兽世界的密保，但该生成器的编 马为主要犯罪手段的网络犯罪。 写者在软件本身也安插了后门，用来盗取生成器使用者 34 2011年1月 的帐户和密码。该木马生成器和生成的木马如图1和图 在命令栏里输入ESP的地址hr 2所示。 运行到“0050310666：90 直接就跳到OEP，也就是入口地址“00452A8455 ebp”，如图6所示。 2.查壳 使用OllyDbg对该木马生成器进行分析查找字符 串，没有发现有意义的字符串（如图3所示），由此怀疑 该木马程序加壳。 然后用Ollydump进行脱壳，记住修改后的入口地 址，脱壳后命名为2.exe，如图7所示。 使用查壳工具PEID对木马生成器进行查壳，发现 其所加壳为Petite2.x，如图4所示。 如果脱壳后的木马程序打不开，可以用Import REC_fix.exe对其进行输入表修复，注意入口地址修改后 经调查，Petite是一款Win32 (Windows9x/NT等)可 为00052A84，如图8。 执行文件压缩器，它允许压缩整个可执行文件代码、数 据以及资源