在本文中,我们会介绍恶意软件如何利用一个打包的Exe原始入口点来欺骗结构化异常处理程序(SEH)。
在此,我们会拿一个名为sample.exe的恶意软件样本进行具体讲解,首先将其加载到ExeInfo,进行打包。
注意入口点是28E8,此外,我们开始调试它的时候,为了确保不被ASLR检查到并避免稍后出现的动态加载,看看DLL的特点,就可以看到这个DLL不能移动。
现在将该sample.exe示例加载到OllyDBG中,它向我们提供了一个信号,即代码可以被压缩,以下是我们之前看到的。
一旦样本加载到OllyDBG中,它将开始在Unpacker代码中运行,由于手动逐步执行此代码将需要很多时间,所以我们会很可能错过OEP,下面就分析一下我们已经执行的这几行代码。
有一些指向SHE结构的FS寄存器,在进一步了解之前,需要了解Windows是如何找到FS寄存器地址的。FS寄存器指向线程信息块(TIB),其包含有关当前正在运行的线程的信息,并且指向SHE链的起点的指针位于TIB的偏移量0x00处。
现在,我们来看看结构异常处理程序。
单个SEH记录由堆栈上的两个元素组成,此过程称为_Exception_Registration。构成SEH记录的两个要素是:
1.SEH处理函数;
2.PTR到下一个SEH记录;
这样才能形成SEH链结构。
一旦代码被加载,它将519870复制到EAX并将其推到堆栈的顶部。
我们可以看看堆栈的顶部这个推送的ESP指向14FF80。
根据SEH的上述说明,这是处理程序函数代码,但仍然需要由下一行代码PUSH DWORD PTR FS:[0]完成的FS来指出。把指针指向SEH链的堆栈顶部,将完成SEH记录。此时寄存器的当前状态如下所示。
有了MOV DWORD PTR FS:[0], ESP的说明,代码通过将ESP(指向记录的顶部)移动到FS:[0]来将新创建的记录指定到SEH链的顶端。执行此语句后,我们可以看到堆栈状态SEH记录的两个元素。
我们也可以在VEH/SEH链中创建新的记录。
但是,自从下一行代码XOR EAX,EAX将0放入EAX后,样本代码应该执行这个SEH处理程序代码。
然后它试图将它写入一个只读位置来导致异常,第一个处理程序会捕获此异常,然后执行解包程序代码。
此外,在执行最后一条语句时,将跳转到519870(记住这是我们之前提交给EAX寄存器的地址,并且是SEH处理函数SEH记录的一部分)。
这是隐藏打包程序代码的一种智能技术,但是我们的分析还没有完成,因为我们仍然需要找到OEP,从二进制文件中解压缩代码并重新构建它是很困难的。
为此,我们将尝试通过在打开代码之前查找打包程序通常使用的一些常见模式:
因此我们应该按照这个顺序查看:清理堆栈→JMP EAX。
一旦进入519870(SEH处理程序代码)中,我们可以通过每个指令,也可以沿着创建SEH记录设置一个断点。
下面就让我们采用沿着创建SEH记录设置一个断点的办法。
由于SEH被创建到系统上,所以当创建结构时,我们将一个断点放在堆栈的顶部。
然后运行样本,它需要用到下面这部分代码。
这与我们正在寻找的模式相匹配,让我们来执行JMP eax,然后看看这个代码将会带给我们的惊喜,如下图所示。
由于代码28E8看起来更简洁,我们来转一下这个代码。
另外,我们还需要检查这个转储代码是否执行,在执行检查之前,请先建立导入地址表。
现在,我们来分析Process Hacker中exe是否正在运行。一旦exe启动,它会给出错误的警告。
有趣的是,这只是为了纠正错误信息,因为即使在点击ok之后,我们也可以看到进程中的黑客进程正在运行并产生一个进程。
通过本文的分析,你可以看到恶意软件的开发者是如何包装代码并阻止分析的。
瑞星个人防火墙是什么
就是用来保护你的电脑系统安全,防范和杀死木马,阻挡黑客攻击的。 个人防火墙是为解决网络上黑客攻击问题而研制的个人信息安全产品,具有完备的规则设置,能有效的监控任何网络连接,保护网络不受黑客的攻击。 2008版瑞星个人防火墙具有以下主要新特性:1.防火墙多帐户管理防火墙提供“管理员”和“普通用户”两种帐户。 防火墙提供切换帐户功能可以在两种帐户之间进行切换。 管理员可以执行防火墙的所有功能,普通用户不能修改任何设置、规则、不能启动/停止防火墙、不能退出防火墙。 且普通用户切换到管理员用户需要输入管理员用户的密码。 2.未知木马扫描技术通过启发式查毒技术,当有程序进行网络活动的时候,对该进程调用未知木马扫描程序进行扫描,如果该进程为可疑的木马病毒,则提示用户。 此技术提高了对可疑程序自动识别的能力。 功能调用拦截由于IE提供了公开的Com组件调用接口,有可能被恶意程序所调用。 此功能是对需要调用IE接口的程序进行检查。 如果检查为恶意程序,报警给用户。 4.反钓鱼,防木马病毒网站提供强大的、可以升级的黑名单规则库。 库中是非法的、高风险、高危害的网站地址列表,符合该库的访问会被禁止的。 5.模块检查防火墙能够控制是否允许某个模块访问网络。 当应用程序访问网络的时候,对参与访问的模块进行检查,根据模块的访问规则决定是否允许该访问。 以往的防火墙只是对应用程序进行检查,而没有对所关联的dll做检查。 进行模块检查,防止了木马模块注入到正常进程中,访问网络。
机器狗病毒特性是什么??
病毒名称:“AV终结者”病毒与熊猫烧香过于“张扬”的特点不同,“AV终结者”的攻击手段更为隐蔽,用户如果感染了该病毒,所有杀毒软件将被禁用;想用搜索引擎去查找一些解决办法,输入“杀毒”字样,浏览器窗口遂被关掉;安全模式也会遭破坏,甚至格式化系统盘重装后很容易被再次感染;更为严重的是,该病毒可在用户电脑安全性丧失殆尽的情况下下载大量盗号木马、风险程序,给用户的网络资产带来严峻威胁。 附“AV终结者”病毒八大病毒特征:1. 生成很多8位数字或字母随机命名的病毒程序文件,并在电脑开机时自动运行。 2. 绑架安全软件,中毒后会发现几乎所有杀毒软件,系统管理工具,反间谍软件不能正常启动。 即使手动删除了病毒程序,下次启动这些软件时,还会报错。 3. 不能正常显示隐藏文件,其目的是更好的隐藏自身不被发现。 4. 禁用Windows自动更新和Windows防火墙,这样木马下载器工作时,就不会有任何提示窗口弹出来。 为该病毒的下一步破坏打开方便之门。 5. 破坏系统安全模式,使得用户不能启动系统到安全模式来维护和修复6. 当前活动窗口中有杀毒、安全、社区相关的关键字时,病毒会关闭这些窗口。 假如你想通过浏览器搜索有关病毒的关键字,浏览器窗口会自动关闭。 7. 在本地硬盘、U盘或移动硬盘生成和相应的病毒程序文件,通过自动播放功能进行传播。 这里要注意的是,很多用户格式化系统分区后重装,访问其它磁盘,立即再次中毒,用户会感觉这病毒格式化也不管用。 8. 病毒程序的最终目的是下载更多木马、后门程序。 用户最后受损失的情况取决于这些木马和后门程序。
金山毒霸和金山清理专家各有什么功用
**** 金山毒霸 2009 最新说明 *****
目录 ================================================================ 1. 关于金山毒霸 2009 2. 主要功能 3. 系统资源要求 4. 常见操作4.1 开启主程序4.2 金山毒霸 .3 金山网镖 .4 金山清理专家 4.5 应急杀毒 U 盘4.6 在线升级4.7 扫描可疑文件 5. 如何反馈意见和问题以及如何上报新病毒 ================================================================
金山软件股份公司为您奉献全新的金山毒霸 2009 ! 欢迎您的使用! 在使用金山毒霸 2009 之前,请您仔细阅读并认可 文件中 的《金山软件最终用户许可协议》。
1. 关于金山毒霸 2009 ================================================================金山毒霸 2009 是一款功能强大、方便易用的个人及家庭首选反病毒 产品,包括金山毒霸、金山网镖、金山清理专家。 它能保护您的计算机免 受病毒、黑客、垃圾邮件、木马和间谍软件等等网络危害。
2. 主要功能 ================================================================三维互联网防御体系:金山毒霸 2009 对病毒和木马等威胁的查杀, 采取本地病毒库扫描、恶意行为拦截和可信认证技术的三重防护。
一对一安全诊断:金山毒霸 2009 对用户系统中多达1000项的关键区 域进行扫描,结合可信认证技术以及各类监控状态判断,从而智能判断当 前用户系统的安全性。
抢先杀毒技术:抢杀技术确保在系统启动早期,彻底清除所有病毒、 木马、恶意软件等威胁,让各种威胁在发作前就彻底被清除干净。
集成金山清理专家:金山毒霸 2009 杀毒套装集成金山清理专家,具备 金山清理专家所有功能,金山毒霸与金山清理专家联合对系统进行诊断,给 用户提供更为准确的系统健康指数,作为您系统是否安全的权威参考。 新版 本清理专家将原漏洞修补进行了功能改进,针对用户电脑中的漏洞以及更新 问题提供更有效的解决方案。 集成的金山清理专家还为您提供方便实用的自 动运行管理、文件粉碎器、历史文件清理、垃圾文件清理和LSP修复等多款 小工具。
系统安全增强计划:本计划将对潜在系统中的危险程序或具有可疑行 为的执行程序,进行分析并做出 相应的处理策略。 有助我们更迅速的应 对未知危险程序,增强用户系统的安全性。
网页防挂马:在您浏览网页的时候,网页防挂马将监控网页行为并阻 止通过网页漏洞下载的木马程序威胁您的系统安全。
主动漏洞修补:根据微软每月发布的补丁第一时间提供最新漏洞库, 通过自动升级后自动帮助用户打上新发布的补丁。
主动拦截恶意行为:主动拦截具有恶意行为的已知或未知威胁,有效 地保护系统安全。
主动实时升级:主动实时升级每天自动帮助用户及时更新病毒库,让 您的计算机能防范最新的病毒和木马等威胁。 全面兼容 Windows Vista:能够全面兼容Windows Vista 操作系统, 为用户提供基于微软最新操作系统的全面防护服务。
查杀病毒、木马、恶意软件:使用数据流、脱壳等一系列先进查杀技 术,打造强大的病毒、木马、恶意软件查杀功能,将藏身于系统中的病毒、 木马、恶意软件等威胁一网打尽,保障用户系统的安全。
黑客防火墙:金山网镖作为个人网络防火墙,根据个人上网的不同需 要,设定安全级别,有效的提供网络流量监控、网络状态监控、IP规则编 辑、应用程序访问网络权限控制,黑客、木马攻击拦截和监测等功能。
3. 系统资源要求 ================================================================ 操作系统: Windows 2000 Professional Windows XP Professional(32位)Windows XP Home (32位)Windows Vista (32位) CPU:Pentium 200MHz 内存:128M 硬盘:至少 150MB 可用硬盘空间 视频:1024x768,增强色 16 位或以上 IE:Microsoft Internet Explorer(IE6) 6.0 Build 2800或更高版本
4. 常见操作 ================================================================ 4.1 开启主程序金山毒霸 2009 安装在用户计算机上后,即会自动启用,保护您的机 器。 您还可以通过以下方法启用并确保金山毒霸 2009 处于正常的工作状 态: 1、在 Windows 任务栏上单击【开始】|【程序】|【金山毒霸 2009 杀毒套装】|【金山毒霸】; 2、在 Windows 桌面上,双击金山毒霸程序图标; 3、在 Windows 任务栏中状态区双击金山毒霸的小图标或右键单击该图标,在弹出的菜单中选择“打开金山毒霸主程序”。
4.2 金山毒霸 2009金山毒霸 2009 常见扫描方式包括:手动查杀,右键查杀、屏保查杀 和定时查杀。 扫描发现的病毒或包含病毒或潜在安全风险的文件后,金山 毒霸 2009 的处理方式包括:自动清除、通知并让用户选择处理、隔离、 跳过、禁止访问此文件、仅修改标题为标识为病毒邮件或者直接禁止脚本 运行。
4.3 金山网镖 2009金山网镖 2009 进一步完善了其功能。 它根据个人上网的不同需要, 设定安全级别,有效的提供网络流量监控,应用程序访问网络权限控制, 病毒预警,黑客、木马攻击监测。 它适用于所有通过拨号或局域网上网的 网络个人用户,同时由金山毒霸 7×24小时全球病毒监测网以及金山毒霸 安全资讯网()提供,您可以获得全面的网络安全 资讯以及黑客攻击解决方案。
4.4 金山清理专家评估电脑健康指数,提供系统修复,查杀恶意软件,漏洞修补功能, 安全百宝箱内提供各类安全工具,提供木马病毒专杀工具。
4.5 应急杀毒 U 盘金山毒霸应急杀毒 U 盘,是在用户系统无法正常启动进入 Windows 杀毒的情况下,利用应急杀毒 U 盘启动计算机进行病毒查杀并恢复系统。 制作应急杀毒U 盘:请先准备一个支持启动的 U 盘,并将 U 盘内重 要的数据进行备份。 应急杀毒 U 盘支持 USB-HDD 或者 USB-ZIP 模式启 动,这两种模式都需要U盘和主板支持。 请您根据 U 盘和主板的情况,设 置机器的 BiOS相关选项。 再启动创建应急杀毒U盘程序,依照提示操作即 可制作成功。
使用应急杀毒 U 盘:将“应急杀毒 U 盘”插入 USB 口中,重新启 动计算机,使用应急杀毒 U 盘启动后,进入命令行环境。 KAVScan 命令 详细说明,请参考 文件。
4.6 在线升级单击金山毒霸 2009 主界面的“在线升级”或选择“工具”→“在线 升级”,都可以启动在线升级。 升级分“快速升级”和“自定义升级”两 种模式,用户可根据需要自由选择。
5. 如何反馈问题和意见,以及上报新病毒? ================================================================ 欢迎您在使用金山毒霸 2009 时将所遇到的问题及时用网上提交系统 反馈给我们,以便我们为您提供最优质的产品和服务。为了保证我们能及 时为您解决问题,为您提供优质的服务,请您在反馈问题时务必注明:
. 问题的详细描述 . 可能引发该问题的软件名称和版本 . 重复出现该问题的详细步骤 . 金山毒霸 2009 主程序的版本 . 金山毒霸 2009 病毒库的版本 . Windows/DOS 的版本 . 机器/主板、硬盘、内存等有关的硬件设备的详细配置
假如您发现金山毒霸 2009 无法检测或无法清除的病毒,请及时将感 染该病毒的文件用压缩程序压缩后通过网上提交系统提交给我们,谢谢!
我们的网上提交地址是:我们的客户服务电话 : (010)-
********* 金山毒霸的日益完善有您的一份努力和功劳! *********
发表评论