反汇编与逆向分析 在电子取证中的应用
一、弁言
连年来,越来越多的人操作木马偷取游戏账号及假造财物犯科牟利。此类木马的举动、事变道理、窃取的信息以及撒播机理是案件侦査及取证事变环绕的中心题目、.通过对木马举办反汇编和汇编代码说明,可以从基础上发掘出木马的布局、成果、处理赏罚流程,从而获知木马的事变道理和本领该要领可以办理黑盒要领在取证进程中无法彻底相识木马撒播机理的题目,因为反汇编逆向说明的技能门槛较高,必要侦査职员对软件常识及计较机体系事变道理有较量深刻的熟悉。
二、反汇编与说明器材OllyDbg
木马措施一样平常是操作VC++,VB.Delphi等高级说话举办编程的,再颠末编译措施天生可以被计较机体系直接执行的呆板代码指令。反汇编就是方针措施二进制代码到汇编代码的翻译进程。固然通过反汇编出来的代码会与源措施代码存在部门差异,可是执行结果沟通。因为病毒、木马根基不果真源代码,有的乃至还加壳掩护其源代码安详,没有高级说话代码,只能看到令人目眩凌乱的汇编指令和呆板码,对付侦查与取证事变都极为倒霉。尤其在这个病毒、木马横行的期间,作为公安部分,同样不能期盼病毒的作者提供可以阅读的高级说话代码。我们只能通过说明其汇编代码来相识其举动、事变道理、隐藏危害等,在措施的反汇编说明中,我们将用到一款叫做OllyDbg的说明调试器OllyDbg是运行在Windows体系下的一个单历程、多线程的说明代码级调试器材。〇吵069是_款用户模式调试器,它团结了动态调试和静态说明,可辨认数千个被频仍行使的函数,并能将其参数注释出^OllyDbg对付措施逆向说明有可视化、动态调试、支持插件、说明成果强盛、交互性好等特点。
三、反汇编与逆向说明实例
我们以某收集游戏盗号木马为例,此木马通过绑定游戏外挂,一旦执行外挂措施同时也运行了木马措施从而实现盗号目标。行使了OllyDbg,PEiD两个软件对此游戏木马举办反汇编逆向说明。
waiguaexeI
描写KeyCryptDriverInstaller公司.TencentTechnology(Shenzhen)CompanyLimited文件版本1000汕逹日期2011-12-1610:40巨细261KB
图1伪装为游戏外挂的木马措施
^5PEiDv0.94 E回囿
文件 丨]
进口点00016000 EP区段rol* 13
艾件鴿移00006A00 苜芊节90.90,BB,93C3
璉接器信皂60 子系铳Win32 GUIQ]
PESmff«rUrJmown|PECo»p*ctv2xx0v«rlty]*|| m
多重扫描!使命查卷器ill Im»q)ii关子(a)) fiE出(X)1
3査于頂部is) |SetInfo| QDEE
图2PEiD查壳器材查壳
H<»M;r:HH ii中丨M、*r'处—
MAt.lhunRINdiio|eaK].4l(v4M|.al[paMl.al[VJNj.dl CHM.丨.CHAR
iIRmc<m»*亭I.L--二-~-r.
图6行使Ultra字符串参考成果
我们行使OllyDbg从头载入脱壳好的木马措施,接下来我们行使插件栏中的Ultra字符串参考成果,步调为:插件一>Ultra字符串参考-->査找UNICODE,如图6所示。由于假如编译说话行使VB则一样平常查找UNICODE,假如是Delhi或C说话则一样平常找ASCII..通过对措施的要害字符串举办查找和说明对我们来说是最轻易找到必要的要害汇编代码的,,通过査找出来的字符串,我们可以得知此木马措施的大抵事变道理,如图7所示。
图3载入后主措施界面
起首我们行使OllyDbg软件将此措施载入。文件->打开,选择waigua.exe文件。我们可以看到反汇编窗口有如图3所示汇编代码。
因为OllyDbg在载入时提醒模块中有压缩代码,是否继承说明,选择“是”说明文件,由此猜疑木马措施加壳了。什么是加壳着实是操作非凡的算法,对EXE、DLL文件里的资源举办压缩。壳出于措施作者想对措施资源压缩、注册掩护的目标,把壳分为压缩壳和加密壳两种。顾名思义,,压缩壳只是为了减小措施体积对资源举办压缩,加密壳是措施输入表等举办加密掩护。所觉得了精确的说明措施,我们在这里必必要先对措施举办脱壳。
起首我们行使一款叫做PEiD的査壳软件,载入木马文件.我们可以看到此木马措施是加了PECompact的壳,如图2所示。
下面我来找木马的OEP试图脱壳。通过ESP定律法,我们找到00401DD4这个地点为措施的OEP,如图4所示。我们行使右键该地点,选择OllyDump脱壳调试历程.,脱壳后的木马定名为waigua_.exe,措施巨细为91KB,用PEiD再次查壳,发明巳经乐成脱壳。如图5,木马是行使VB说话编译的。
OBHOiDrn
ua<iait>rc
UI»iH1D(0
•M91PEC
UIM010EI
an/iftiDF*
eiMiOiDr
OIMUlOf
UH4010F
6J»:FF35aaoona|pushdwordpr»-fs:|6Ji:8925OOOOOOInuudwordptrrs:[l33CB xoreax,eax
noudMon|pusheax
inciincrbx
|outsdx.duordptres:[edi]in?dwot-dptrp<;:[pdi],dxjoshortwalqua.OO<tOtC>i|jrpl«Mirdptrds2[edx*«fsi]/•bh.cl
C49BD9itC01S/
S'
ds:[ed«*S/B1iiCD9)
措施oep
朱知命+米知呼吁
图4措施〇EP
^5PEiDvO.940一®
文件'D.Vwm Q
进口点00001DD4 ip区段i«xtCEi
文件谝移00001DD4 苜字节68.84,21,40CEl
f»l接器信扁60 子体系Win32GUICEl
PESmff«r ,s
MicrosoftVisualBasic5.0/60 1
丨多重扫运丨使命査1器ill]逸项(Q)|丨关于⑷丨退出QL)!
曰詈于顶部rs) (I»f»1回oj
图5脱壳后的措施
thihjf?e::.;:ii,h,
Isilttmslll'lrilkraololad-o.lcll■«!♦•
—stnsaalllMeullng^丨I.f■lJfR#MllaaHlaM*MaallllM丨:(?•'o»?1c**4m
'-nHI-I^
iIH
.i.:|
*e«>
运二二mj
j:r:::::::
1-wanlliiiilllililiiuiinEiuuii
连年来,越来越多的人操作木马偷取游戏账号及假造财物犯科牟利。此类木马的举动、事变道理、窃取的信息以及撒播机理是案件侦査及取证事变环绕的中心题目、.通过对木马举办反汇编和汇编代码说明,可以从基础上发掘出木马的布局、成果、处理赏罚流程,从而获知木马的事变道理和本领该要领可以办理黑盒要领在取证进程中无法彻底相识木马撒播机理的题目,因为反汇编逆向说明的技能门槛较高,必要侦査职员对软件常识及计较机体系事变道理有较量深刻的熟悉。
二、反汇编与说明器材OllyDbg
木马措施一样平常是操作VC++,VB.Delphi等高级说话举办编程的,再颠末编译措施天生可以被计较机体系直接执行的呆板代码指令。反汇编就是方针措施二进制代码到汇编代码的翻译进程。固然通过反汇编出来的代码会与源措施代码存在部门差异,可是执行结果沟通。因为病毒、木马根基不果真源代码,有的乃至还加壳掩护其源代码安详,没有高级说话代码,只能看到令人目眩凌乱的汇编指令和呆板码,对付侦查与取证事变都极为倒霉。尤其在这个病毒、木马横行的期间,作为公安部分,同样不能期盼病毒的作者提供可以阅读的高级说话代码。我们只能通过说明其汇编代码来相识其举动、事变道理、隐藏危害等,在措施的反汇编说明中,我们将用到一款叫做OllyDbg的说明调试器OllyDbg是运行在Windows体系下的一个单历程、多线程的说明代码级调试器材。〇吵069是_款用户模式调试器,它团结了动态调试和静态说明,可辨认数千个被频仍行使的函数,并能将其参数注释出^OllyDbg对付措施逆向说明有可视化、动态调试、支持插件、说明成果强盛、交互性好等特点。
三、反汇编与逆向说明实例
我们以某收集游戏盗号木马为例,此木马通过绑定游戏外挂,一旦执行外挂措施同时也运行了木马措施从而实现盗号目标。行使了OllyDbg,PEiD两个软件对此游戏木马举办反汇编逆向说明。
waiguaexeI
描写KeyCryptDriverInstaller公司.TencentTechnology(Shenzhen)CompanyLimited文件版本1000汕逹日期2011-12-1610:40巨细261KB
图1伪装为游戏外挂的木马措施
^5PEiDv0.94 E回囿
文件 丨]
进口点00016000 EP区段rol* 13
艾件鴿移00006A00 苜芊节90.90,BB,93C3
璉接器信皂60 子系铳Win32 GUIQ]
PESmff«rUrJmown|PECo»p*ctv2xx0v«rlty]*|| m
多重扫描!使命查卷器ill Im»q)ii关子(a)) fiE出(X)1
3査于頂部is) |SetInfo| QDEE
图2PEiD查壳器材查壳
H<»M;r:HH ii中丨M、*r'处—
MAt.lhunRINdiio|eaK].4l(v4M|.al[paMl.al[VJNj.dl CHM.丨.CHAR
iIRmc<m»*亭I.L--二-~-r.
图6行使Ultra字符串参考成果
我们行使OllyDbg从头载入脱壳好的木马措施,接下来我们行使插件栏中的Ultra字符串参考成果,步调为:插件一>Ultra字符串参考-->査找UNICODE,如图6所示。由于假如编译说话行使VB则一样平常查找UNICODE,假如是Delhi或C说话则一样平常找ASCII..通过对措施的要害字符串举办查找和说明对我们来说是最轻易找到必要的要害汇编代码的,,通过査找出来的字符串,我们可以得知此木马措施的大抵事变道理,如图7所示。
图3载入后主措施界面
起首我们行使OllyDbg软件将此措施载入。文件->打开,选择waigua.exe文件。我们可以看到反汇编窗口有如图3所示汇编代码。
因为OllyDbg在载入时提醒模块中有压缩代码,是否继承说明,选择“是”说明文件,由此猜疑木马措施加壳了。什么是加壳着实是操作非凡的算法,对EXE、DLL文件里的资源举办压缩。壳出于措施作者想对措施资源压缩、注册掩护的目标,把壳分为压缩壳和加密壳两种。顾名思义,,压缩壳只是为了减小措施体积对资源举办压缩,加密壳是措施输入表等举办加密掩护。所觉得了精确的说明措施,我们在这里必必要先对措施举办脱壳。
起首我们行使一款叫做PEiD的査壳软件,载入木马文件.我们可以看到此木马措施是加了PECompact的壳,如图2所示。
下面我来找木马的OEP试图脱壳。通过ESP定律法,我们找到00401DD4这个地点为措施的OEP,如图4所示。我们行使右键该地点,选择OllyDump脱壳调试历程.,脱壳后的木马定名为waigua_.exe,措施巨细为91KB,用PEiD再次查壳,发明巳经乐成脱壳。如图5,木马是行使VB说话编译的。
OBHOiDrn
ua<iait>rc
UI»iH1D(0
•M91PEC
UIM010EI
an/iftiDF*
eiMiOiDr
OIMUlOf
UH4010F
6J»:FF35aaoona|pushdwordpr»-fs:|6Ji:8925OOOOOOInuudwordptrrs:[l33CB xoreax,eax
noudMon|pusheax
inciincrbx
|outsdx.duordptres:[edi]in?dwot-dptrp<;:[pdi],dxjoshortwalqua.OO<tOtC>i|jrpl«Mirdptrds2[edx*«fsi]/•bh.cl
C49BD9itC01S/
S'
ds:[ed«*S/B1iiCD9)
措施oep
朱知命+米知呼吁
图4措施〇EP
^5PEiDvO.940一®
文件'D.Vwm Q
进口点00001DD4 ip区段i«xtCEi
文件谝移00001DD4 苜字节68.84,21,40CEl
f»l接器信扁60 子体系Win32GUICEl
PESmff«r ,s
MicrosoftVisualBasic5.0/60 1
丨多重扫运丨使命査1器ill]逸项(Q)|丨关于⑷丨退出QL)!
曰詈于顶部rs) (I»f»1回oj
图5脱壳后的措施
thihjf?e::.;:ii,h,
Isilttmslll'lrilkraololad-o.lcll■«!♦•
—stnsaalllMeullng^丨I.f■lJfR#MllaaHlaM*MaallllM丨:(?•'o»?1c**4m
'-nHI-I^
iIH
.i.:|
*e«>
运二二mj
j:r:::::::
1-wanlliiiilllililiiuiinEiuuii
扫微信立即咨询:
