0x1 PE文件與免殺思路

基于PE文件結(jié)構(gòu)知識(shí)的免殺技術(shù)主要用于對(duì)抗啟發(fā)式掃描。
通過修改PE文件中的一些關(guān)鍵點(diǎn)來達(dá)到欺騙反病毒軟件的目的。

• 修改區(qū)段名

1.1 移動(dòng)PE文件頭位置免殺

工具：PeClean

SizeOfOptionalHeader字段來描述擴(kuò)展頭的大小，恒定值為0xE0。
某些程序直接使用0xE0對(duì)PE文件進(jìn)行處理，對(duì)于修改過的程序會(huì)被識(shí)別為非PE文件。

1.2 導(dǎo)入表移動(dòng)免殺

通過修改程序里導(dǎo)入表ThunkValue值實(shí)現(xiàn)。

• 1）通過ThunkValue的偏移地址，找到API函數(shù)名
• 2）將原地址的API函數(shù)名移動(dòng)到其他空白處
• 3）00填充掉原地址的API函數(shù)名
• 4）修改ThunkValue值為新移動(dòng)的地址

1.3 導(dǎo)出表移動(dòng)免殺

通過修改導(dǎo)入表中API函數(shù)名的相對(duì)偏移地址實(shí)現(xiàn)。

• 獲取API函數(shù)名的RAV（相對(duì)虛擬地址）
• 將API函數(shù)名移動(dòng)到新位置
• 將API函數(shù)名相對(duì)偏移地址填寫回原先記錄的地方

0x2 PE文件與反啟發(fā)式掃描

其它非與PE文件相關(guān)的啟發(fā)式掃描請(qǐng)參考第16章“免殺技術(shù)前沿”內(nèi)容。

2.1 最后一個(gè)區(qū)段為代碼段

啟發(fā)特征：最后一個(gè)區(qū)段為代碼段。這會(huì)引發(fā)“異常的入口點(diǎn)”。如果入口點(diǎn)被定位在了非正常的代碼段上，則會(huì)被啟發(fā)式掃描引擎查殺。

2.2 可疑的區(qū)段頭部屬性

蠕蟲在感染一個(gè)文件時(shí)有三種方案，這些方案都要求會(huì)修改代碼段具有可寫屬性。

• 1 增加一個(gè)新的可執(zhí)行區(qū)段
• 2 現(xiàn)有的代碼段中插入惡意代碼
• 3 將惡意代碼分別穿插到不同的區(qū)段中，并修改相應(yīng)區(qū)段的屬性

啟發(fā)特征：一個(gè)正常的可執(zhí)行程序如果出現(xiàn)多個(gè)具有可執(zhí)行屬性的區(qū)段，就會(huì)制造出這些特征。

2.3 可疑的PE選項(xiàng)頭的有效尺寸值

啟發(fā)特征：這一項(xiàng)啟發(fā)特征是基于 “移動(dòng)PE文件頭免殺”建立起來的。用于試圖修改選項(xiàng)頭大小而隱藏更多敏感數(shù)據(jù)的惡意程序。

2.4 可疑的代碼節(jié)名稱

啟發(fā)特征：如果產(chǎn)生了編譯器廠商之外的區(qū)段名，則啟發(fā)特征判定為惡意程序。

2.5 多個(gè)PE頭部

啟發(fā)特征：可執(zhí)行文件中含有需要釋放的DLL或者SYS。

注：一般情況下將其中包含的可執(zhí)行文件加密即可避免出現(xiàn)這個(gè)特征。

2.6 導(dǎo)入表項(xiàng)存在可疑導(dǎo)入

啟發(fā)特征：

• 無效導(dǎo)入表
• 偏移形式調(diào)用API
• 特定惡意行為的API序列

注：黑客一般會(huì)使用自己實(shí)現(xiàn)的GetProcAddresss函數(shù)，以便用散列值尋找并調(diào)用相關(guān)敏感API

0x3 隱藏導(dǎo)入表

隱藏導(dǎo)入表思路

• 簡(jiǎn)單異或加密
• 導(dǎo)入表單項(xiàng)移除
• 重構(gòu)導(dǎo)入表
• 利用HOOK方式打亂其調(diào)用

3.1 操作原理與先決條件

原理：

• 1）手工將指定導(dǎo)入項(xiàng)的IAT(Import Address Table)刪除掉
• 2）在啟動(dòng)初期用正確的值填充IAT

條件限制：

• OriginalFirstThunk字段是一個(gè)以0x00000000結(jié)尾的32位數(shù)組，將INT填充為0x00000000刪掉后，
  會(huì)導(dǎo)致在此IAT項(xiàng)后面所有由此DLL導(dǎo)入的函數(shù)失效。

3.2 修改PE文件

簡(jiǎn)單的例子

3.3 構(gòu)造我們的反匯編代碼

沒看懂RegisterClassExW的起始地址是怎么得到的。

0x4 小結(jié)

• PE免殺入門技巧

• 對(duì)PE免殺入門技巧的啟發(fā)式掃描規(guī)則

• 反啟發(fā)式掃描PE免殺技巧