浅谈土木恶意程序的逆向取证方法.docxVIP

浅谈土木恶意程序的逆向取证方法 1 木马恶意程序 特洛伊木马恶意软件隐藏在受害者的计算机系统和智能终端上，并秘密记录用户输入的敏感信息，窃取受害者主机上的敏感文件。此外，它还可以收听受害者的声音、视频和通信数据。 目前, 木马恶意程序常用的取证方法是逆向分析法 2 lordpe分析木马程序使用不同系统函数进行的关键信息 通过对多个木马样本进行分析, 我们发现不管是什么类型的木马恶意程序通常都要实现几个特定的核心功能, 如进程隐藏、开机自动运行、躲避杀毒软件查杀、绕过防火墙拦截、实现与攻击者的远程通信联络、实现特定的恶意功能等 基于“关键函数”断点设置的木马恶意程序取证方法如图1所示, 首先取证工具Lordpe分析木马程序使用了哪些系统函数, 从一些关键的系统函数可以初步判断出恶意程序采用了哪些功能 (例如木马使用了createfile和deletefile函数, 说明它很可能向硬盘释放了特定文件, 同时还进行了文件删除操作) , 在关键函数上设置访问断点, 动态调试木马程序, 程序会自动停在断点位置, 从函数的传入参数可以提取出关键的涉案信息 (例如创建或删除的文件名称和路径) , 使用这种方法可以简化木马程序的取证分析工作。 本文以一款名为“红蜘蛛”的盗号木马为例, 研究基于“关键函数”断点设置的恶意程序取证分析方法。这款木马程序文件的名称是“红蜘蛛v119版.exe”, 文件大小为57344字节, 文件的MD5值为7C49FF0DE960DC67C1F52C00CD9E3423。本文研究对象为脱壳后的木马恶意程序, 具体的脱壳技术不在文章讨论范围内。 3 木马结果的对比 首先使用Loadpe工具打开“红蜘蛛v119版.exe”, 查看木马程序使用了哪些系统函数, 结果如图2所示。木马程序使用了KERNEL32.dll和ADVAPI32.dll两个动态链接库, 点击每个dll文件名, 会显示出木马使用了该dll文件中的哪些系统函数。 我们首先对CreateFile函数进行分析, 函数的原型定义如图3所示。这是一个多功能函数, 可打开或创建以下对象:通信资源、控制台、磁盘驱动器、目录、文件、管道、邮槽, 返回可访问的句柄。函数共有6个参数, lpFileName表示即将打开的文件名称, 通过这个参数可以确定木马创建的文件名称和存储路径。dwDesiredAccess指定访问对象的模式, 如果值为GENERIC_WRITE表示允许对设备进行写访问;如果该值为GENERIC_READ表示允许对设备进行读访问;如果值为零, 表示只允许获取与一个设备有关的信息。dwShareMode表示共享模式, 如果值为零表示不共享, 例如值为FILE_SHARE_READ表示读请求可以成功执行;值为FILE_SHARE_DELETE表示删除请求可以成功执行;如果值为FILE_SHARE_WRITE表示写请求可以成功执行。lpSecurityAttributes指向一个SECURITY_ATTRIBUTES结构体指针, 定义了文件的安全属性。dwCreationDisposition代表文件如何创建, 具体含义结合木马实例分析。dwFlagsAndAttributes表示文件属性。hTemplateFile存储一个文件或设备句柄, 表示以这个参数给出的句柄为模板创建文件。它将指定文件的相关属性复制到新创建的文件上, 这个参数可用于将某个新创建文件的属性设置成与现有文件属性完全相同, 这种情况下函数会自动忽略dwFlagsAndAttributes参数。通常情况下这个参数值设置为NULL, 表示不使用任何模板。 使用Ollydbg在CreateFileA函数上设置访问断点, 当木马程序中断在这个位置时, 从lpFileName参数可以获得木马向硬盘释放文件的路径和名称。图4显示的是木马程序第一次中断时Ollydbg显示的系统堆栈状态, 通过系统堆栈可以看到木马程序传递给CreateFileA函数的7个参数值。第一个参数File Name显示木马程序向C:\WINDOWS\system32路径释放了一个名为redspider.dll的文件。 再次按下F 9键, 木马程序第二次中断在CreateFileA函数的入口位置。图5显示的是第二次中断时, 系统堆栈显示的参数信息。可见木马向C盘根目录释放了一个名为inflexible.wav的文件。 从扩展名来看, inflexible.wav应该是一个音频文件。但是, 查看该文件属性显示大小只有303字节, 显然不符合音频文件的容量特点。使用记事本打开这个文件, 查看到的结果如图6所示。这组数据疑似木马设置的相关参数, 发送邮件服务器使用的是, 发信邮箱是stp888@163.com, 邮箱登录密码是8698