IDA+Bochs调试器插件进行PE+格式DLL脱壳.PDFVIP

BY ：obaby 火星信息安全研究院 IDA + Bochs 调试器插件进行PE+ 格式 DLL 脱壳 By :obaby 在IDA Pro6.1 中我们扩展了Bochs 调试器插件，现在已经可以进行64 位代码段的调试。 在IDA Pro 6.2 版本中将有可能实现PE+ 可执行程序的动态调试。由于程序将会在Bochs 系 统中执行，因而在调试的过程中我们并不需要实际的64 位操作系统，因而在实际的调试过 程中可以从任何的32 位或者64 位的Linux，Mac OS 或者Windows 操作系统中使用IDA Pro 进行64 位可执行文件的调试。 为了确认这一项新的功能，我们将进行PE+格式的一个木马程序进行脱壳并且进行一个 大体的分析，这个文件是由MATCODE Software 公司的mpress 进行压缩的。我们将会对讲 解DLL 文件脱壳，修复输入表并且最终修复数据库来进行分析。 Unpacking the DLL 我们的目标文件是一个木马的DLL 文件，该文件被杀软识别为“Win32/Giku ”。我们从 使用idaq64 载入DLL 文件开始进行分析，载入之后按Ctrl+S 键打开区段窗口： 打开区段窗口之后注意观察区段的名称和mpress 压缩壳设置的区段的属性。 为了进行 DLL 文件调试需要确保在启动之前已经设置调试器的选项设置 （“Bochs debugger plugin” ）为PE 和64bit emulation 模式。 1 BY ：obaby 火星信息安全研究院 在启动调试器之后，注意观察下面的代码段，在这段代码中调用了unpack()函数： 如果我们继续单步执行到更远的地方我们将会到达修复输入表的代码处，为了实现输 入表的修复程序将会循环调用 LoadLibrary()/GetModuleHandle()函数并且在这个循环中会包 含另外的一个子循环调用GetProcAddress() 。Mpress 外壳通过这两层循环来实现IAT 修复： 2 BY ：obaby 火星信息安全研究院 在stosq 执行之后我们将可以从rdi 寄存器中得到IAT 结构的起始地址，同样在两层循 环全部结束之后我们可以从rdi 寄存器中得到IAT 结构的结束地址。 在IAT 修复之后不远的地方我们可以找到一个跳转到原始入口点的jmp 代码： 程序的入口点代码如下所示： 3 BY ：obaby 火星信息安全研究院 这里就是脱壳之后的程序的真实的 DllEntryPoint()函数了。现在有了程序的OEP 和 IAT 结构的起始/结束地址，我们就可以清空数据库并且重现脱壳之后的程序了。 Reconstructing and cleaning the database 到这里有许多的办法在程序脱壳之后进行清理数据库清理.通常会包含如下几步： 1. 定位IAT 并且创建一个额外的区段来重现程序的输入表； 2. 删除外壳代码的入口点，并且添加脱壳之后程序的原始入口点OEP； 3. 重新分析代码； 4. 重新加载FLIRT 特征库 5. 删除无用的外壳区段（可选） 其中第一步到第三步可以通过 IDA 的 uunp 插件来自动完成，执行菜单中的 “Edit/Plugins/Universal unpack