3.资源里加个混淆
Posted QKSword
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了3.资源里加个混淆相关的知识,希望对你有一定的参考价值。
目录
1.简单的混淆代码
2.恶意软件资源中释放混淆资源
3.逆向分析
4.参考
简单的混淆代码
在恶意软件分析中,混淆是经常使用的一种手段。恶意软件通过对数据进行混淆,不但给杀毒软件的检测和查杀带来一定的困难,也会给逆向分析者带来一定的阻碍。这里就抛出一个非常简单的砖来说说混淆。我这里简单的写了一个程序,输入想要混淆的文件名就会在同目录下生成名为shellcode的混淆文件。这里混淆过程其实也非常简单,就是对文件进行读写异或等操作
1 #include<Windows.h> 2 #include<stdio.h> 3 #include<tchar.h> 4 5 void __cdecl _tmain(int argc, TCHAR *argv[]) 6 { 7 HANDLE hFiler; 8 HANDLE hFilew; 9 BOOL ifFilesize = FALSE; 10 BOOL bErrorFlag = FALSE; 11 BOOL Flag = FALSE; 12 DWORD buffertoread; 13 DWORD dwByteWrite = 0; 14 LPVOID lpAddress; 15 LARGE_INTEGER FileSize; 16 17 //获取文件句柄 18 hFiler = CreateFile(argv[1], GENERIC_READ, FILE_SHARE_READ, NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL); 19 if (hFiler == INVALID_HANDLE_VALUE) 20 { 21 printf("Unable to open file!"); 22 return; 23 } 24 //获取文件大小 25 ifFilesize = GetFileSizeEx(hFiler, &FileSize); 26 if (ifFilesize == FALSE) 27 { 28 printf("%d", GetLastError()); 29 } 30 else 31 { 32 printf("%lld", FileSize.QuadPart); 33 } 34 35 //分配一块内存 36 lpAddress = VirtualAlloc(NULL, (SIZE_T)FileSize.QuadPart, MEM_COMMIT | MEM_TOP_DOWN, PAGE_READWRITE); 37 if (lpAddress == NULL) 38 { 39 printf("LocalAlloc failed!"); 40 return; 41 } 42 43 //读取文件 44 bErrorFlag = ReadFile(hFiler, lpAddress, (DWORD)FileSize.QuadPart, &buffertoread, NULL); 45 if (bErrorFlag == FALSE) 46 { 47 printf("Readfile false:%d", GetLastError()); 48 return; 49 } 50 51 //对数据进行异或,最简单的混淆,可以修改这里来实现更加复杂的混淆 52 BYTE *point = lpAddress; 53 for (int i = 0; i < (int)FileSize.QuadPart; i++) 54 { 55 (*point) ^= 0x99; 56 point++; 57 } 58 59 //在同目录下生成一个名为shellcode的文件 60 hFilew = CreateFile(L"shellcode", GENERIC_WRITE, 0, NULL, CREATE_NEW, FILE_ATTRIBUTE_NORMAL, NULL); 61 if (hFilew == INVALID_HANDLE_VALUE) 62 { 63 printf("Unable to open file"); 64 } 65 66 //写入混淆后的内容 67 Flag = WriteFile(hFilew, lpAddress, (DWORD)FileSize.QuadPart, &dwByteWrite, NULL); 68 if (Flag == FALSE) 69 { 70 printf("Fail to WriteFile"); 71 } 72 73 return; 74 }
恶意软件资源中释放混淆代码
上面说到的是混淆的过程,这里就是恶意软件对资源混淆后是如何进行释放的。这里释放资源和第二课释放资源类似,不过由于资源混淆了,所以多了一步解密资源的过程。由于资源在PE中为只读数据,所以获取到指向资源的指针后不能像第二课那样直接进行解密,需要复制到内存中再进行解密。还有就是我们之前加混淆是异或0x99,所以解密也是通过异或0x99(这里可以不懂可以看一下关于异或的知识)。
1 #include<Windows.h> 2 #include<stdio.h> 3 4 #include"resource.h" //要包含资源文件的头文件 5 6 int main() 7 { 8 HRSRC Shellcode; 9 HGLOBAL Loadshellcode; 10 HANDLE hFile; 11 DWORD ShellcodeSize; 12 DWORD dwByteWrite = 0; 13 LPVOID Lockshellcode; 14 LPVOID lpAddress; 15 BOOL Flag = FALSE; 16 17 //找到资源 18 Shellcode = FindResource(NULL, MAKEINTRESOURCE(IDR_SHELLCODE1), TEXT("Shellcode")); 19 if (Shellcode == NULL) 20 { 21 printf("Could not locate dialog box."); 22 return 0; 23 } 24 25 //加载资源 26 Loadshellcode = LoadResource(NULL, Shellcode); 27 if (Loadshellcode == NULL) 28 { 29 printf("Could not lock dialog box."); 30 return 0; 31 } 32 33 //获取指向资源的指针 34 Lockshellcode = LockResource(Loadshellcode); 35 if (Lockshellcode == NULL) 36 { 37 printf("Could not lock dialog box."); 38 return 0; 39 } 40 41 //获取资源大小,用于下面写文件 42 ShellcodeSize = SizeofResource(NULL, Shellcode); 43 44 //资源处为只读数据不能直接进行解密,需要复制到内存空间中才可以进行解密 45 lpAddress = VirtualAlloc(NULL, (SIZE_T)ShellcodeSize, MEM_COMMIT | MEM_TOP_DOWN, PAGE_READWRITE); 46 if (lpAddress == NULL) 47 { 48 printf("LocalAlloc failed!"); 49 return 0; 50 } 51 52 //复制资源到内存空间 53 memcpy(lpAddress, Lockshellcode, (size_t)ShellcodeSize); 54 55 //解密出shellcode 56 byte *point = lpAddress; 57 for (int i = 0; i < (int)ShellcodeSize; i++) 58 { 59 (*point) ^= 0x99; 60 point++; 61 } 62 63 //创建文件 64 hFile = CreateFile(L"PE", GENERIC_WRITE, 0, NULL, CREATE_NEW, FILE_ATTRIBUTE_NORMAL, NULL); 65 if (hFile == INVALID_HANDLE_VALUE) 66 { 67 printf("Unable to open file"); 68 } 69 70 //写入文件 71 Flag = WriteFile(hFile, lpAddress, ShellcodeSize, &dwByteWrite, NULL); 72 if (Flag == FALSE) 73 { 74 printf("Fail to WriteFile"); 75 } 76 77 return 0; 78 }
逆向分析
逆向分析时,如果资源经过混淆,我们用resourse hacker提取出来是混淆后的数据,如果再写一个解密程序进行解密是非常耗时间的(可以通过逆向恶意程序解密资源的过程来编写解密程序)。由于恶意程序最终需要的也是解密后的数据,所以我们可以通过OD跟踪恶意程序解密出资源数据后,再转存解密后的数据。如何确定那个地方是数据解密后呢?我们从上面释放资源的程序中看出,由于需要解密一块数据,所以会进入一个循环对数据进行解密。当循环结束时,我们就可以认为数据解密完成。在平时的恶意软件分析中,数据解密也会进入循环中,有经验的逆向分析者可能一眼就看出数据解密的地方。对初学者来说多分析多调试,也会很快会找到其中的规律
参考
文件读写:https://docs.microsoft.com/zh-cn/windows/desktop/FileIO/opening-a-file-for-reading-or-writing
获取文件大小:https://docs.microsoft.com/en-us/windows/desktop/api/fileapi/nf-fileapi-getfilesize
内存操作:https://docs.microsoft.com/zh-cn/windows/desktop/Memory/reserving-and-committing-memory
以上是关于3.资源里加个混淆的主要内容,如果未能解决你的问题,请参考以下文章