首页
社区
课程
招聘
[分享]恶意代码分析之必备家当
发表于: 2011-9-14 10:16 119974

[分享]恶意代码分析之必备家当

2011-9-14 10:16
119974
收藏
免费 6
支持
分享
最新回复 (113)
雪    币: 2
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
51
帖子内容很精彩,回帖内容同样精彩,感谢mstwugui分享经验...
2011-9-16 19:43
0
雪    币: 677
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
52
http://bbs.360.cn/4005462/251096134.html
2011-9-16 20:49
0
雪    币: 503
活跃值: (80)
能力值: (RANK:280 )
在线值:
发帖
回帖
粉丝
53
多谢分享,这是个有新意的恶意代码,但似乎算不上大爆发吧?不知道这是不是cvcvxk提到的SE保护的某毒
2011-9-16 21:30
0
雪    币: 8835
活跃值: (2404)
能力值: ( LV12,RANK:760 )
在线值:
发帖
回帖
粉丝
54
1.你没发现我说全人工是问句么,我说的不是误报走人工,前面有一句关键字:自动检测误报率这个误报率是自动过程中自动化检测的,如果出现了就转到可能需要人工处理的工作队列里去了~而不是说正式发布出现误报。
2.没啥关系,你说自动化不能替代人,我很赞同,要不然咱也不用每天战斗在第一防线了~
3.我说累死鸟人是对静态搞某些壳的一种感叹,不是说你...引起误会,请多谅解。
4.啊,对中国前几装机量产品居然不关心,我无语,好多个新样本都是捆在外挂上的

最后,我说的流程化和你想的流程化,估计不太一样,你的流程化是处理顺序,而我说的流程是具体人肉分析的流程(一个需要人肉的玩意,自动报告里有的东西都是流程化好了的),然后说一下,报告填写是非常有规格,规定的,甚至我记得有的地方是直接由做好的模板,必须按照模板填入相应的内容。
2011-9-17 08:11
0
雪    币: 339
活跃值: (1510)
能力值: ( LV13,RANK:970 )
在线值:
发帖
回帖
粉丝
55
大家都很有精神啊,1G样本/天/人的飘过
2011-9-17 08:43
0
雪    币: 8835
活跃值: (2404)
能力值: ( LV12,RANK:760 )
在线值:
发帖
回帖
粉丝
56
你不是一个人在战斗~~
2011-9-17 08:51
0
雪    币: 503
活跃值: (80)
能力值: (RANK:280 )
在线值:
发帖
回帖
粉丝
57
1. 我看到了全人工是个问句,不过想请问一下如果其他人在一个原本毫无关系的讨论中突然对你提出个略带嘲讽略的疑问,不知道你会有什么感受?
关于误报率的问题,可能是外部反馈回来的,同样也可能是内部QA发现的,不过我还是不明白误报率和本帖有什么直接关系?
另一方面,你这里提到的人工处理,如果我没有理解错误的话应该是提取特征码吧,如果有必要的话,还可能加上对自动化引擎的修正及优化,又回到同样的问题了,和本帖有什么直接关系吗?
2. 我相信不会只有一个样本是捆在外挂上,我也相信360的装机量不会是个小数字。
不过我想不是非得关注某一厂商发布的报告才能获得必须的信息吧
各大厂商每天都会发布数个报告,难道每一个都是大爆发吗?我很难想象一个捆绑于外挂的某毒能散播得多广,如果不是大规模爆发的,又不是有重要客户明确要求的恶意代码,刨除练手和工作之余消磨时间这两个缘由之外,请问还有什么必要非得人工分析?更何况是静态脱SE?最最关键的还是同样的问题,这和本帖有什么直接关系吗?
3. 我实在不明白你提出那么些和本帖无关的疑问是希望传递什么信息,当然我们也没必要在这里过于纠结下去,我也有误会的地方,抱歉了。

最后,我很有兴趣了解一下你所提到的“具体人肉分析的流程(一个需要人肉的玩意,自动报告里有的东西都是流程化好了的)”

如果这次我没有理解错误的话,也就是我在主贴中提到的步骤5-8

5. 如果需要的话,用IDA静态分析
6. 如果需要的话,写一些辅助脚本或代码协助分析
7. 如果需要的话,用调试器调试
8. 如果需要的话,对相关域名,服务器,邮件地址等做背景调查

我之所以在主贴中仅仅提到基本原则而未做详细讨论,就是因为个人认为细节问题需要具体问题具体分析。不过在这个帖子中我确实漏掉了壳的处理,这一步如果容易脱的话可以插在静态分析之前,如果不容易的话,也可以结合调试器带壳调试。

不过我也希望能听听其他朋友在处理细节上是如何流程化的
2011-9-17 10:20
0
雪    币: 503
活跃值: (80)
能力值: (RANK:280 )
在线值:
发帖
回帖
粉丝
58
若干年前有一位超级有爱的帅哥,没事就上传点大片,还是无码的
不过好像还是不到1G样本/天/人
真想念那段日子啊
2011-9-17 10:24
0
雪    币: 8835
活跃值: (2404)
能力值: ( LV12,RANK:760 )
在线值:
发帖
回帖
粉丝
59
我为我回帖的语气表示歉意,如果有什么令你不爽,还望谅解。
我们还是别扯谈无关话题了。
2011-9-17 13:46
0
雪    币: 8835
活跃值: (2404)
能力值: ( LV12,RANK:760 )
在线值:
发帖
回帖
粉丝
60
额~求帅哥姓名~
2011-9-17 13:47
0
雪    币: 993
活跃值: (442)
能力值: ( LV12,RANK:403 )
在线值:
发帖
回帖
粉丝
61
乌龟大师能不能写一篇关于IDA静态分析的心得?有没有什么比较系统流程化的步骤?感觉静态分析一个恶意代码,想完全弄清它的意图有时很累。
2011-9-17 14:15
0
雪    币: 503
活跃值: (80)
能力值: (RANK:280 )
在线值:
发帖
回帖
粉丝
62
是个意大利帅哥,不过是好几年前的事了,不记得名字了,呵呵
2011-9-17 16:54
0
雪    币: 503
活跃值: (80)
能力值: (RANK:280 )
在线值:
发帖
回帖
粉丝
63
前面我提到过,之所以只提到了大的流程而没有讨论细节,就是因为个人觉得细节上需要具体问题具体分析,我也很希望能有哪位朋友可以归纳指点一番如何流程化细节分析
不是我要藏咄,说实话是至少目前自己还总结不出什么来,似乎就是日积月累出来的感觉,很难说的清楚,抱歉了
2011-9-17 17:02
0
雪    币: 503
活跃值: (80)
能力值: (RANK:280 )
在线值:
发帖
回帖
粉丝
64
对了,有几个IDA快捷键个人用的比较频繁,应该有助于分析

Alt+F7(运行IDC脚本以进行有必要的自定义处理)
Alt+Q(修改局部或全局变量为结构以加强代码可读性,相关变量因此可能会自动被修改为结构变量)
Ctrl+R(指定相对偏移以获得确切地址,包括代码及数据引用)
F12(流程图,这个没啥好多说的)
M(指定相关常量的枚举类型以加强代码可读性)
R(重命名,无论是否明确相关代码或数据的实际目的,养成习惯对未分析过的代码或数据重命名至少有助于下一次见到时快速分辨相关联系,对不确定的代码或数据命名时可以加额外前缀以区分,随后分析过程中如果核实了或是否定了再修改)
Shift+F9(添加及修改相关数组声明)
T(修改相对于寄存器的偏移地址为相关结构的内部成员)
;和Shift+;(直接注释以及可引用注释,这个也没啥好多说的)

善用这些快捷键至少可以提高代码可读性,有助于快速分辨恶意代码的企图

此外我在另一张帖子里提到过几个笨办法
1. 没事的时候,多熟悉常见的编译工具开发平台,写些小程序调用常见的库函数,随后自己逆一下以达到熟悉这些常见库函数的具体实现,这个笨办法可能可以提高部分高级语言编写的恶意代码的分析速度
2. 没事的时候,多熟悉各类常见加密解密算法,实际工作中遇到时识别起来也快一些
3. 如果条件允许的话,不妨找试着找早期变种的样本,早期变种有可能更容易分析或理解,熟悉了之后对新版本分析也或多或少的会有帮助
4. 善用google和baidu,参考他人的分析报告并不丢人,有时候可以帮助自己更好的理解或是猜测某段代码的目的。不过仅仅是参考,而不是简单的抄袭,最后的分析报告必须是基于自己的分析

欢迎各位补充
2011-9-17 17:44
0
雪    币: 8835
活跃值: (2404)
能力值: ( LV12,RANK:760 )
在线值:
发帖
回帖
粉丝
65
如果对快捷键不熟悉,可以自己研究一下设置快键,这样子比较适合个人习惯。
对于常见的库函数 一般都可以做sig,用IDA的时候,多用用IDA配套工具生成sig啊什么的,这玩意比自己记忆好很多。
对于加密解密算法可以做几个脚本或者插件专门来查找算法位置。
IDApython的功能很强大,插件和库很多,还有纯静态的pyemu86这等神器~
IDAStealth是IDA调试大部分玩意必备的工具,建议下载一个。
BinDiff可以帮助分析样本家族的变化,PatchDiff2也可以勉强用用。
2011-9-17 18:22
0
雪    币: 503
活跃值: (80)
能力值: (RANK:280 )
在线值:
发帖
回帖
粉丝
66
多谢补充
还有一个很多朋友都熟悉的快捷键,F5,很强大,就是太贵了
2011-9-17 18:49
0
雪    币: 339
活跃值: (1510)
能力值: ( LV13,RANK:970 )
在线值:
发帖
回帖
粉丝
67
我觉得大家没必要过多纠结于具体的工具或操作,对新入手分析的朋友来说可能学会怎么用工具,剩下就不太知道该怎么办了。我记得好久前看到别人发破解或者脱壳一类的文章,按里面说的地址或方法去改就能成功,但不知道所以然,总觉得人家故意有所保留不愿往外说,最近又有朋友问我这事,说想知道原理,其实很多东西的确没法说,只能说分析多了就有经验了。好比认识一个人,第一次见到时候不熟悉,慢慢见多了离很远就能认出来,但让你说清为啥能认出来那就没办法说出来的。所以与其纠结于什么工具怎么用,不如多静下来心去分析,哪怕你用sice或者trw,时间长了也能很牛。

另外我觉得木马病毒是很好的分析样例,但如果不是职业需要,只是为了学分析的话,没必要一直纠结于木马病毒。因为木马病毒毕竟短小并且基本大部分内容都是值得分析,而无法体现分析的其他概念。很多分析病毒的朋友貌似不太擅长分析其他程序,因为一般的程序往往体积大、数据结构复杂、算法复杂、不好定位具体函数等问题。如果单纯要学好分析,还是应该初期分析木马,慢慢学会分析其他软件,这才是真正的分析。如果只是想分析木马病毒的话倒不存在这个问题了。

现在国内技术氛围不如以前,很多人不愿说话,这里面原因很多,但有几点我比较感慨,一个是某人所说的不敢说了,总觉得自己技术不行了,怕上来说错话,比如我这种轻易不敢说,怕一说就说错了还不够丢人。另外一个问题是有些新人上来发点东西,就马上有老人跳出来打击,说这玩意过时了啥的,我觉得这个不太必要,觉得简单的不评论就是了,如果动不动就打击,可能也不太好。

个人浅见,我很久不说话,大家懂的
2011-9-17 22:49
0
雪    币: 339
活跃值: (1510)
能力值: ( LV13,RANK:970 )
在线值:
发帖
回帖
粉丝
68
国内比国外最好的好处就是软件便宜,大学时候我们给一个外教装了个xp+office2k,他感动的专门请客还安排说千万不要传出去,一帮学生快笑翻了
2011-9-17 22:57
0
雪    币: 678
活跃值: (101)
能力值: ( LV2,RANK:150 )
在线值:
发帖
回帖
粉丝
69
国内很多人对知识产权的意识比较低,虽然我也是用着都是盗版的。
2011-9-17 23:22
0
雪    币: 503
活跃值: (80)
能力值: (RANK:280 )
在线值:
发帖
回帖
粉丝
70
之前听一个朋友说他的邻居下了大量盗版音乐结果被抓了,还只是自己下载,并不是用于盈利的
2011-9-18 00:29
0
雪    币: 503
活跃值: (80)
能力值: (RANK:280 )
在线值:
发帖
回帖
粉丝
71
同意大部分观点。
或许是个人见识所限,除了安防,暂时也没发现逆向有其他什么合法的用武之地。所以还是希望有更多的朋友加入这个圈子。
大多数木马病毒确实目的性相对明确,难度有限。不过要挑战也不是没有,例如几年前的Polip,近年的Zeus/Zbot,Spyeye,ZeroAccess, TDSS/TDL等等都各有其特色,这些由专业人员开发的恶意代码的复杂程度远非大多数木马病毒可相提并论的。
总之无论是新人老人,只要有心,总能发掘出逆向无穷的魅力,:)
2011-9-18 00:40
0
雪    币: 8835
活跃值: (2404)
能力值: ( LV12,RANK:760 )
在线值:
发帖
回帖
粉丝
72
这个发帖时间为止我没发现逆向的其他合法的用途(其实本质上分析恶意代码本身也会有知识产权的问题,只是因为恶意代码作者不会跳出来而已。)
不过相比大型商业软件,恶意软件的分析还是容易一些的。
2011-9-18 05:59
0
雪    币: 503
活跃值: (80)
能力值: (RANK:280 )
在线值:
发帖
回帖
粉丝
73
知识产权不保护恶意代码,而且各国也在不断完善立法惩戒恶意代码的开发者、散播者以及使用者
所以恶意代码作者不是不会跳出来,而是不敢跳出来

不过话说回来,只要有利益的存在,这个魔盒就永远不可能关上。也正因为如此,至少在目前阶段安防行业绝对是各位逆向爱好者获得合法回报的最好选择
2011-9-18 07:55
0
雪    币: 271
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
wep
74
顶一下。很有指导意义 。
2011-9-18 18:54
0
雪    币: 339
活跃值: (1510)
能力值: ( LV13,RANK:970 )
在线值:
发帖
回帖
粉丝
75
逆向正规用途还是有的,比如正规情况下分析软件可能存在的漏洞;很多程序崩溃后,厂商要崩溃信息,他们找崩溃原因肯定就要用逆向;还有个别情况软件源码丢失,原作者需要分析里面个别算法或信息;再有的可能上升到国家级别,那就不存在合法不合法的问题了。不过在国外真悲惨听个音乐也要小声点
2011-9-18 20:11
0
游客
登录 | 注册 方可回帖
返回
//