本文介绍了恶意代码常用的API混淆方法,包括自建IAT、跳转指令、加密存储和抹去DOS头,并详细阐述了解决混淆的四种方法:利用idapython、模拟执行、Remotelookup工具和修复PE头。通过对实际样本的分析,展示了如何恢复混淆API,便于恶意代码分析。
很多文章不能更新至CSDN,可以关注我的同名公众号(程序员启航)
1.摘要
我们在分析恶意代码时经常会遇到,静态分析恶意代码时导入表没有任何导入函数的情况,这种情况通常是恶意代码混淆了API,很多恶意代码尝试混淆它们使用的API来对抗静态分析,API被混淆后静态分析几乎无法得到有效的信息,下面我总结了恶意代码经常用到的混淆API的方法,和处理它们的方法
2.恶意代码常用api混淆方法
第一种恶意代码自己创建IAT,自己实现类似于LoadLibrary和GetProcAddress功能的函数,传入的参数也通常是dll名和函数名的hash值,将函数地址存入指针数组,然后通过指针数组调用不同的函数,下面介绍的mailto勒索软件就属于这种
第二种恶意代码计算出真正的函数入口点后,使用jmp指令跳转过去,xshell后门的shellcode用的就是这种方法
第三种将真正的函数入口点加密后存储到全局变量中,调用函数时,将全局变量解密即是函数真正的入口点,下文介绍的xdata勒索软件使用的就是此方法
第四中抹去DOS头,一般恶意代码在shellcode中经常使用,用来对抗内存取证工具或躲避杀软对进程注入pe文件 的检测,下文介绍的ccleaner后门使用的就是这种方法
3.解决api混淆的方法
3.1 idapython
以mailto勒索软件为例(MD5:3D6203DF53FCAA16D71ADD5F47BDD060),首先分析下样本混淆API的方式,样本自己创建IAT,通过用自己实现的函数MwLoadDll来获取dll基址和MwImportApi获取导入函数的地址,MwLoadDll是以dll名的hash值作为参数,MwImportApi是以模块基址和函数名hash值作为参数
MwLoadDll函数是通过FS:[0x30]获取PEB,在通过PEB结构体OxC偏移获取PPEB_LDR_DATA指针,在根据_PEB_LDR_DATA结构体的0x14偏移获取InMemoryOrderModuleList链表,此链表是指向LDR_MODULE结构体的双向链表,在遍历此链表,计算每个模块名的hash值是否与传入的相等,相等则返回模块的基址
MwImportApi函数是通过dll模块的pe结构遍历其导出表,分别计算各个导出函数的hash值是否与传递的hash值相等,相等就返回此函数的地址并将其存入指针数组中
最低0.47元/天 解锁文章
扫一扫
9775
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
