日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問(wèn)題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案
一種快速提取惡意軟件解密邏輯代碼的方法

前言

創(chuàng)新互聯(lián)建站技術(shù)團(tuán)隊(duì)10多年來(lái)致力于為客戶提供成都做網(wǎng)站、成都網(wǎng)站設(shè)計(jì)、成都外貿(mào)網(wǎng)站建設(shè)高端網(wǎng)站設(shè)計(jì)成都營(yíng)銷網(wǎng)站建設(shè)、搜索引擎SEO優(yōu)化等服務(wù)。經(jīng)過(guò)多年發(fā)展,公司擁有經(jīng)驗(yàn)豐富的技術(shù)團(tuán)隊(duì),先后服務(wù)、推廣了上1000+網(wǎng)站,包括各類中小企業(yè)、企事單位、高校等機(jī)構(gòu)單位。

在平時(shí)的惡意軟件分析和逆向工作中,我們往往需要對(duì)某些類型的加密算法或者解壓縮算法進(jìn)行逆向。而這一逆向工作,可能會(huì)需要好幾個(gè)小時(shí)、好幾天、好幾個(gè)月,甚至是好幾年才能完成。在我們分析的過(guò)程中,常常需要弄明白惡意軟件所使用的數(shù)據(jù)Blob是什么。

要回答這個(gè)問(wèn)題,本身就是一件有挑戰(zhàn)性的工作,我通常并沒(méi)有那么多的時(shí)間來(lái)對(duì)一些加密的程序做完全徹底的逆向。我一般只需要弄明白這個(gè)數(shù)據(jù)是惡意軟件用來(lái)做什么的配置文件,甚至有的時(shí)候,我根本不知道這些數(shù)據(jù)是什么。盡管很不愿意接受這樣的結(jié)果,但卻是時(shí)常發(fā)生的。

目前,有幾種方法可以解密惡意軟件,并解壓其中的數(shù)據(jù)。我們可以運(yùn)行惡意軟件并轉(zhuǎn)儲(chǔ)內(nèi)存段、在調(diào)試器中對(duì)其進(jìn)行調(diào)試、在解密/解壓縮的部分放置Hook從而dump出其返回值、進(jìn)行靜態(tài)分析等等。雖然這些方法都很不錯(cuò),但無(wú)疑要花費(fèi)大量的時(shí)間。

如果我們有幾個(gè)需要解密或解壓縮的數(shù)據(jù)Blob,那么該怎么辦呢?如果可以直接從惡意軟件的解密/解壓縮部分中得到其匯編代碼,那便可以將其放在一個(gè)編譯器中(比如Visual Studio),將其編譯成動(dòng)態(tài)鏈接庫(kù)(DLL),然后再使用我們熟悉的腳本語(yǔ)言(比如Python)對(duì)其進(jìn)行調(diào)用。

本文將重點(diǎn)講解可以實(shí)現(xiàn)這一點(diǎn)的技術(shù)方法。在分析惡意軟件Reaver的過(guò)程中,Unit 42安全小組發(fā)布了一個(gè)API調(diào)用及字符串的數(shù)據(jù)庫(kù)查找工具,地址為:

https://github.com/pan-unit42/public_tools/tree/master/Reaver_Decompression

分析過(guò)程

我們以針對(duì)Reaver惡意軟件家族的分析為例,嘗試確定其使用的壓縮算法,并確定是否可以在不運(yùn)行惡意軟件的前提下,從中逆向出其使用的算法。請(qǐng)注意,這里的前提是不運(yùn)行惡意軟件。

在我對(duì)該惡意軟件的分析過(guò)程中,發(fā)現(xiàn)它似乎使用了一個(gè)修改過(guò)的Lempel-Ziv-Welch(LZW)壓縮算法。我們所分析的Reaver惡意軟件樣本中,解壓縮算法位于地址0x100010B2,其匯編代碼大約有200行。解壓縮例程如下所示:

 
 
 
 
      
  
  
  
  1. ; void __thiscall decompress(_DWORD *this, int nstream, int output, int zero, int zero2, int zero3) 
    2.   
  
  
  
  2. decompress      proc near               ; CODE XREF: decompressingData+5A↓p 
    3.   
  
  
  
  3. nstream         = dword ptr  8 
    4.   
  
  
  
  4. output          = dword ptr  0Ch 
    5.   
  
  
  
  5. zero            = dword ptr  10h 
    6.   
  
  
  
  6. zero2           = dword ptr  14h 
    7.   
  
  
  
  7. zero3           = dword ptr  18h 
    8.   
  
  
  
  8.                  push    ebp 
    9.   
  
  
  
  9.                  mov     ebp, esp 
    10.   
  
  
  
  10.                  push    ebx 
    11.   
  
  
  
  11.                  push    esi 
    12.   
  
  
  
  12.                  push    edi 
    13.   
  
  
  
  13.                  mov     esi, ecx 
    14.   
  
  
  
  14.                  push    16512           ; unsigned int 
    15.   
  
  
  
  15.                  call    Malloc 
    16.   
  
  
  
  16.                  pop     ecx 
    17.   
  
  
  
  17.                  mov     edi, eax 
    18.   
  
  
  
  18.                  mov     ecx, 1020h 
    19.   
  
  
  
  19.                  xor     eax, eax 
    20.   
  
  
  
  20.                  mov     [esi], edi 
    21.   
  
  
  
  21.                  xor     ebx, ebx 
    22.   
  
  
  
  22.                  rep stosd 
    23.

為了簡(jiǎn)潔起見(jiàn),我們沒(méi)有展示該函數(shù)的全部代碼。需要注意的地方是:

該函數(shù)調(diào)用約定(Calling Convention)是__thiscall(說(shuō)明是C++);

該函數(shù)使用了5個(gè)參數(shù);

該函數(shù)從惡意軟件中調(diào)用一次(通過(guò)在IDA Pro中標(biāo)識(shí)的交叉引用數(shù)量來(lái)看到的)。

下面是該函數(shù)調(diào)用部分的代碼:

 
 
 
 
      
  
  
  
  1. xor     eax, eax 
    2.   
  
  
  
  2. mov     ecx, [ebp+v6] 
    3.   
  
  
  
  3. push    eax 
    4.   
  
  
  
  4. push    eax 
    5.   
  
  
  
  5. push    eax 
    6.   
  
  
  
  6. movzx   eax, word ptr [ebx+24] 
    7.   
  
  
  
  7. push    dword ptr [edx] ; output 
    8.   
  
  
  
  8. lea     eax, [eax+ebx+26] 
    9.   
  
  
  
  9. push    eax 
    10.   
  
  
  
  10. call    decompress 
    11.

對(duì)調(diào)用解壓縮函數(shù)的分析如下:

會(huì)清除EAX寄存器,因此EAX為0;

指向?qū)ο蟮闹羔槾鎯?chǔ)在ECX(Thiscall)中;

EAX的三次push說(shuō)明了解壓縮例程的第3、4、5個(gè)參數(shù)始終為0;

第2個(gè)參數(shù)是指向目標(biāo)緩沖區(qū)的指針;

第1個(gè)參數(shù)是指向壓縮數(shù)據(jù)的指針。

而壓縮的數(shù)據(jù)如下:

 
 
 
 
      
  
  
  
  1. 08 00 A5 04 01 12 03 06  8C 18 36 7A 04 21 62 25   ..¥.....?.6z.!b% 
    2.   
  
  
  
  2. 08 94 24 33 64 B8 20 C3  86 4D 03 05 02 09 1A 8C   .”$3d? ??M.....? 
    3.   
  
  
  
  3. 71 A3 C7 91 32 74 AA CC  29 23 C7 49 98 36 65 82   q£?‘2taì)#?I?6e? 
    4.   
  
  
  
  4. 5C CC 58 F0 20 8E 1E 52  CA 9C 19 C2 E6 CD C8 25   ìXe ?.Rê?.??íè% 
    5.   
  
  
  
  5. 65 F2 AC 1C D8 32 46 0E  98 32 9F C0 29 E3 06 67   eò?.?2F.?2?à)?.g 
    6.   
  
  
  
  6. 9E 22 78 54 62 E4 69 50  06 0C A0 33 E5 94 09 43   ?"xTb?iP.. 3?”.C 
    7.   
  
  
  
  7. A7 8C 51 A4 4A 59 36 8D  01 75 0A 48 2B 61 D8 D4   §?Q¤JY6..u.H+a?? 
    8.   
  
  
  
  8. 29 83 75 A7 46 18 32 64  40 25 52 86 0D C8 32 60   )?u§F.2d@%R?.è2` 
    9.   
  
  
  
  9. C5 A6 34 DB 52 C6 0C 85  64 D4 D4 99 43 87 CA 9B   ?|4?R?.…d???C?ê? 
    10.   
  
  
  
  10. 35 44 A1 C8 49 63 27 8D  DB 33 65 E6 D0 6D 4A A3   5D?èIc'.?3e?DmJ£ 
    11.   
  
  
  
  11. 07 93 37 7F EB C0 11 4C  D8 B0 4C B8 61 C7 66 65   .“7.?à.L?°L?a?fe 
    12.   
  
  
  
  12. 8A B6 46 0F A1 81 E5 BC  19 93 78 8E 5F C0 6E 16   ??F.?.??.“x?_àn. 
    13.   
  
  
  
  13. A3 4D 38 85 4E 18 39 74  BC CA 29 4C 7A F3 59 19   £M8…N.9t?ê)LzóY. 
    14.

為了簡(jiǎn)潔起見(jiàn),在這里也不展示壓縮數(shù)據(jù)的全部?jī)?nèi)容,其完整大小是45115字節(jié)。

第1-7字節(jié)(08 00 A5 04 01 12 03)是壓縮例程的一個(gè)“魔法值”,我們?cè)谒蠷eaver變種中都發(fā)現(xiàn)了這個(gè)頭部。

在掌握了上述這些之后,我們就可以將注意力集中在解壓縮例程的工作機(jī)制上。

請(qǐng)大家注意:在這里,我們可以監(jiān)視調(diào)用或轉(zhuǎn)儲(chǔ)目標(biāo)緩沖區(qū)內(nèi)容后所得到的返回結(jié)果,其中會(huì)包含解壓縮的數(shù)據(jù),但是如果選擇這種方法,就需要我們?cè)谡{(diào)試器中運(yùn)行代碼。而我們的前提是不運(yùn)行惡意軟件樣本。

創(chuàng)建DLL

在掌握了一定信息后,我們開始創(chuàng)建一個(gè)DLL。我們可以使用Visual Studio,或者任何能處理編譯程序集(NASM/MASM)的編譯器。創(chuàng)建一個(gè)新的空DLL項(xiàng)目,并添加一個(gè)新的頭文件。

舉例來(lái)說(shuō),我創(chuàng)建了一個(gè)頭文件,如下所示:

 
 
 
 
      
  
  
  
  1. #pragma once 
    2.   
  
  
  
  2. #ifndef _DEFINE_LZWDecompress_DLL 
    3.   
  
  
  
  3. #define _DEFINE_LZWDecompress_DLL 
    4.   
  
  
  
  4.   
    5.   
  
  
  
  5. #ifdef __cplusplus   
    6.   
  
  
  
  6. extern "C" { 
    7.   
  
  
  
  7. #endif   
    8.   
  
  
  
  8. __declspec(dllexport) BOOL  Decompress(char *src, char *dst); 
    9.   
  
  
  
  9. #ifdef __cplusplus   
    10.   
  
  
  
    11.   
  
  
  
  11. #endif  
    12.   
  
  
  
  12. BOOL Decompress(char *src, char *dst); 
    13.   
  
  
  
  13. #endif 
    14.

上述代碼會(huì)創(chuàng)建一個(gè)名為“Decompress”的文件,并且能接收兩個(gè)參數(shù)。我們?cè)谶@里之所以僅使用了兩個(gè)參數(shù),原因在于其他三個(gè)參數(shù)始終為0,所以無(wú)需定義他們。該函數(shù)的返回類型為布爾型。

針對(duì)源文件(.cpp或.c),需要從IDA Pro或其他調(diào)試器中獲得匯編代碼,再將其添加到源文件中。以下是我修復(fù)后的源文件代碼:

 
 
 
 
      
  
  
  
  1. #include  
    2.   
  
  
  
  2. #include  
    3.   
  
  
  
  3. #include "TestDLL.h" 
    4.   
  
  
  
  4. BOOL Decompress(char *src, char *dst) 
    5.   
  
  
  
    6.   
  
  
  
  6.     //Use calloc vs malloc.  Temp buffer is for the dictionary  
    7.   
  
  
  
  7.     void *pTmpbuff; 
    8.   
  
  
  
  8.     pTmpbuff = (int*) calloc(0x4080u, sizeof(unsigned int)); 
    9.   
  
  
  
  9.     if (src && dst) 
    10.   
  
  
  
  10.     { 
    11.   
  
  
  
  11.         __asm 
    12.   
  
  
  
  12.         { 
    13.   
  
  
  
  13.             xor ebx, ebx;  //Need to clear ebx register  
    14.   
  
  
  
  14.             SUB ESP, 0x40; //Need to subtract stack, so we don’t overwrite some Ctypes return data 
    15.   
  
  
  
  15.             MOV ESI, ESP; 
    16.   
  
  
  
  16.             PUSH EAX; 
    17.   
  
  
  
  17.             POP EDI;        //Our Temp Buffer 
    18.   
  
  
  
  18.             PUSH[EBP + 8];      //Source Buffer 
    19.   
  
  
  
  19.             POP EAX; 
    20.   
  
  
  
  20.             PUSH[EBP + 0xC];  //Destination Buffer 
    21.   
  
  
  
  21.             POP EDX; 
    22.   
  
  
  
  22.             LEA ECX, DWORD PTR DS : [EAX + 1]; //Where we start.  Get the 1st DWORD of the compressed data appears to be magic value 
    23.   
  
  
  
  23.             MOV DWORD PTR DS : [ESI], EDI;//Temp buffer address 
    24.   
  
  
  
  24.             MOV DWORD PTR DS : [ESI + 0x1C], EDX;//Destination address 
    25.   
  
  
  
  25.             MOV DWORD PTR DS : [ESI + 0x18], ECX;//Compressed Data 
    26.   
  
  
  
  26.             MOV BYTE PTR DS : [ESI + 0x20], BL;//0 
    27.   
  
  
  
  27.             MOV CL, BYTE PTR DS : [EAX];//08 
    28.   
  
  
  
  28.             PUSH 1; 
    29.   
  
  
  
  29.             POP EAX; 
    30.   
  
  
  
  30.             MOV BYTE PTR DS : [ESI + 0x22], CL; 
    31.   
  
  
  
  31.             SHL EAX, CL; 
    32.   
  
  
  
  32.             MOV DWORD PTR DS : [ESI + 0x30], EBX; 
    33.   
  
  
  
  33.             MOV WORD PTR DS : [ESI + 8], AX; 
    34.   
  
  
  
  34.             INC EAX; 
    35.   
  
  
  
  35.             MOV WORD PTR DS : [ESI + 0xA], AX; 
    36.   
  
  
  
  36.             MOV EAX, DWORD PTR SS : [EBP + 0x10]; 
    37.   
  
  
  
  37.             MOV DWORD PTR DS : [ESI + 0x2C], EAX; 
    38.   
  
  
  
  38.             LEA EAX, DWORD PTR DS : [EAX * 8 + 0x1F]; 
    39.   
  
  
  
  39.             SHR EAX, 5; 
    40.   
  
  
  
  40.             SHL EAX, 2; 
    41.   
  
  
  
  41.             CMP BYTE PTR SS : [EBP + 0x18], BL; 
    42.   
  
  
  
  42.             MOV DWORD PTR DS : [ESI + 0x38], EAX; 
    43.   
  
  
  
  43.             SETE AL; 
    44.   
  
  
  
  44.             DEC EAX; 
    45.   
  
  
  
  45.             AND AL, 1; 
    46.   
  
  
  
  46.             ADD EAX, 0x0FF; 
    47.   
  
  
  
  47.             CMP AL, BL; 
    48.   
  
  
  
  48.             MOV BYTE PTR DS : [ESI + 0xC], AL; 
    49.   
  
  
  
  49.             JNZ SHORT check3; 
    50.   
  
  
  
  50.             MOV EAX, DWORD PTR SS : [EBP + 0x14]; 
    51.   
  
  
  
  51.             MOV DWORD PTR DS : [ESI + 0x14], EDX; 
    52.   
  
  
  
  52.             MOV DWORD PTR DS : [ESI + 0x28], EAX; 
    53.   
  
  
  
  53.             MOV DWORD PTR DS : [ESI + 0x34], EBX; 
    54.   
  
  
  
  54. check3: 
    55.   
  
  
  
  55.             MOV ECX, ESI; 
    56.   
  
  
  
  56.             CALL check4; 
    57.   
  
  
  
  57. check26: 
    58.   
  
  
  
  58.             MOV ECX, ESI; 
    59.   
  
  
  
  59.             CALL check10; 
    60.   
  
  
  
  60.             MOV EDI, EAX; 
    61.   
  
  
  
  61.             CMP DI, WORD PTR DS : [ESI + 0xA]; 
    62.   
  
  
  
  62.             JE Finished; 
    63.   
  
  
  
  63.             CMP DI, WORD PTR DS : [ESI + 8]; 
    64.   
  
  
  
  64.             JNZ SHORT check22; 
    65.   
  
  
  
  65.             MOV ECX, ESI; 
    66.   
  
  
  
  66.             CALL check4; 
    67.   
  
  
  
  67. check24: 
    68.   
  
  
  
  68.             MOV ECX, ESI; 
    69.   
  
  
  
  69.             CALL check10; 
    70.   
  
  
  
  70.             MOV EDI, EAX 
    71.   
  
  
  
  71.             CMP DI, WORD PTR DS : [ESI + 8] 
    72.   
  
  
  
  72.             JNZ SHORT check23; 
    73.   
  
  
  
  73.             JMP SHORT check24; 
    74.   
  
  
  
  74. check22: 
    75.   
  
  
  
  75.             CMP DI, WORD PTR DS : [ESI + 0X24] 
    76.   
  
  
  
  76.             JNB SHORT check25; 
    77.   
  
  
  
  77.             PUSH EDI 
    78.   
  
  
  
  78.             JMP SHORT check27; 
    79.   
  
  
  
  79. check25: 
    80.   
  
  
  
  80.             PUSH EBX; 
    81.   
  
  
  
  81. check27: 
    82.   
  
  
  
  82.             MOV ECX, ESI; 
    83.   
  
  
  
  83.             CALL check28; 
    84.   
  
  
  
  84.             MOVZX AX, AL; 
    85.   
  
  
  
  85.             PUSH EAX; 
    86.   
  
  
  
  86.             PUSH EBX; 
    87.   
  
  
  
  87.             MOV ECX, ESI; 
    88.   
  
  
  
  88.             CALL check31; 
    89.   
  
  
  
  89.             PUSH EDI; 
    90.   
  
  
  
  90.             MOV ECX, ESI; 
    91.   
  
  
  
  91.             CALL check35; 
    92.   
  
  
  
  92.             MOV EBX, EDI; 
    93.   
  
  
  
  93.             JMP SHORT check26; 
    94.   
  
  
  
  94. check10: 
    95.   
  
  
  
  95.             MOVZX EAX, BYTE PTR DS : [ECX + 0x20]; 
    96.   
  
  
  
  96.             PUSH EBX; 
    97.   
  
  
  
  97.             PUSH ESI; 
    98.   
  
  
  
  98.             PUSH EDI; 
    99.   
  
  
  
  99.             MOVZX EDI, BYTE PTR DS : [ECX + 0x23]; 
    100.   
  
  
  
  100.             ADD EAX, EDI; 
    101.   
  
  
  
  101.             CMP EAX, 8; 
    102.   
  
  
  
  102.             JA SHORT Check6; 
    103.   
  
  
  
  103.             MOV EDX, DWORD PTR DS : [ECX + 0x18]; 
    104.   
  
  
  
  104.             MOVZX ESI, BYTE PTR DS : [EDX]; 
    105.   
  
  
  
  105.             JMP SHORT Check8; 
    106.   
  
  
  
  106.         Check6: 
    107.   
  
  
  
  107.             MOV EDX, DWORD PTR DS : [ECX + 0x18]; 
    108.   
  
  
  
  108.             CMP EAX, 0x10; 
    109.   
  
  
  
  109.             JA SHORT Check7; 
    110.   
  
  
  
  110.             MOVZX ESI, WORD PTR DS : [EDX]; 
    111.   
  
  
  
  111.             JMP SHORT Check8; 
    112.   
  
  
  
  112.         Check7: 
    113.   
  
  
  
  113.             MOVZX ESI, BYTE PTR DS : [EDX + 2]; 
    114.   
  
  
  
  114.             MOVZX EBX, WORD PTR DS : [EDX]; 
    115.   
  
  
  
  115.             SHL ESI, 0X10; 
    116.   
  
  
  
  116.             OR ESI, EBX; 
    117.   
  
  
  
  117.         Check8: 
    118.   
  
  
  
  118.             MOV EBX, EAX; 
    119.   
  
  
  
  119.             PUSH 0x20; 
    120.   
  
  
  
  120.             SHR EBX, 3; 
    121.   
  
  
  
  121.             ADD EBX, EDX; 
    122.   
  
  
  
  122.             MOV DL, AL; 
    123.   
  
  
  
  123.             AND DL, 7; 
    124.   
  
  
  
  124.             MOV DWORD PTR DS : [ECX + 0X18], EBX; 
    125.   
  
  
  
  125.             MOV BYTE PTR DS : [ECX + 0X20], DL; 
    126.   
  
  
  
  126.             POP ECX; 
    127.   
  
  
  
  127.             SUB ECX, EAX; 
    128.   
  
  
  
  128.             MOV EAX, ESI; 
    129.   
  
  
  
  129.             PUSH 0x20; 
    130.   
  
  
  
  130.             SHL EAX, CL; 
    131.   
  
  
  
  131.             POP ECX; 
    132.   
  
  
  
  132.             SUB ECX, EDI; 
    133.   
  
  
  
  133.             POP EDI; 
    134.   
  
  
  
  134.             POP ESI; 
    135.   
  
  
  
  135.             POP EBX; 
    136.   
  
  
  
  136.             SHR EAX, CL; 
    137.   
  
  
  
  137.             RETN; 
    138.   
  
  
  
  138.         check28: 
    139.   
  
  
  
  139.             MOV EAX, DWORD PTR DS : [ECX]; 
    140.   
  
  
  
  140.             MOV EDX, DWORD PTR SS : [ESP + 4]; 
    141.   
  
  
  
  141.         check30: 
    142.   
  
  
  
  142.             MOVZX ECX, DX; 
    143.   
  
  
  
  143.             MOV CX, WORD PTR DS : [EAX + ECX * 4]; 
    144.   
  
  
  
  144.             CMP CX, 0x0FFFF; 
    145.   
  
  
  
  145.             JE SHORT check29; 
    146.   
  
  
  
  146.             MOV EDX, ECX; 
    147.   
  
  
  
  147.             JMP SHORT check30; 
    148.   
  
  
  
  148.         check29: 
    149.   
  
  
  
  149.             MOVZX ECX, DX; 
    150.   
  
  
  
  150.             MOV AL, BYTE PTR DS : [EAX + ECX * 4 + 2]; 
    151.   
  
  
  
  151.             RETN 4; 
    152.   
  
  
  
  152.         check31: 
    153.   
  
  
  
  153.             MOVZX EDX, WORD PTR DS : [ECX + 0x24]; 
    154.   
  
  
  
  154.             LEA EAX, DWORD PTR DS : [ECX + 0x24]; 
    155.   
  
  
  
  155.             PUSH ESI; 
    156.   
  
  
  
  156.             MOV ESI, DWORD PTR DS : [ECX]; 
    157.   
  
  
  
  157.             PUSH EDI; 
    158.   
  
  
  
  158.             MOV DI, WORD PTR SS : [ESP + 0xC]; 
    159.   
  
  
  
  159.             MOV WORD PTR DS : [ESI + EDX * 4], DI; 
    160.   
  
  
  
  160.             MOV ESI, DWORD PTR DS : [ECX]; 
    161.   
  
  
  
  161.             MOVZX EDX, WORD PTR DS : [EAX]; 
    162.   
  
  
  
  162.             MOV DI, WORD PTR SS : [ESP + 0x10]; 
    163.   
  
  
  
  163.             MOV WORD PTR DS : [ESI + EDX * 4 + 2], DI; 
    164.   
  
  
  
  164.             INC WORD PTR DS : [EAX]; 
    165.   
  
  
  
  165.             MOV AX, WORD PTR DS : [EAX]; 
    166.   
  
  
  
  166.             POP EDI; 
    167.   
  
  
  
  167.             CMP AX, 8; 
    168.   
  
  
  
  168.             POP ESI; 
    169.   
  
  
  
  169.             JE SHORT check32; 
    170.   
  
  
  
  170.             CMP AX, 0x10; 
    171.   
  
  
  
  171.             JE SHORT check32; 
    172.   
  
  
  
  172.             CMP AX, 0x20; 
    173.   
  
  
  
  173.             JE SHORT check32; 
    174.   
  
  
  
  174.             CMP AX, 0x40; 
    175.   
  
  
  
  175.             JE SHORT check32; 
    176.   
  
  
  
  176.             CMP AX, 0x80; 
    177.   
  
  
  
  177.             JE SHORT check32; 
    178.   
  
  
  
  178.             CMP AX, 0x100; 
    179.   
  
  
  
  179.             JE SHORT check32; 
    180.   
  
  
  
  180.             CMP AX, 0x200; 
    181.   
  
  
  
  181.             JE SHORT check32; 
    182.   
  
  
  
  182.             CMP AX, 0x400; 
    183.   
  
  
  
  183.             JE SHORT check32; 
    184.   
  
  
  
  184.             CMP AX, 0x800; 
    185.   
  
  
  
  185.             JNZ SHORT check33; 
    186.   
  
  
  
  186.         check32: 
    187.   
  
  
  
  187.             INC BYTE PTR DS : [ECX + 0x23]; 
    188.   
  
  
  
  188.         check33: 
    189.   
  
  
  
  189.             RETN 8; 
    190.   
  
  
  
  190.         check4: 
    191.   
  
  
  
  191.             MOV EDX, ECX; 
    192.   
  
  
  
  192.             PUSH EDI; 
    193.   
  
  
  
  193.             MOV ECX, 0x1000; 
    194.   
  
  
  
  194.             OR EAX, 0xFFFFFFFF; 
    195.   
  
  
  
  195.             MOV EDI, DWORD PTR DS : [EDX] 
    196.   
  
  
  
  196.             REP STOS DWORD PTR ES : [EDI]; 
    197.   
  
  
  
  197.             XOR EAX, EAX; 
    198.   
  
  
  
  198.             POP EDI; 
    199.   
  
  
  
  199.             CMP WORD PTR DS : [EDX + 8], AX; 
    200.   
  
  
  
  200.             JBE SHORT check1; 
    201.   
  
  
  
  201.             PUSH ESI; 
    202.   
  
  
  
  202.             MOV ESI, DWORD PTR DS : [EDX]; 
    203.   
  
  
  
  203.         check2: 
    204.   
  
  
  
  204.             MOVZX ECX, AX; 
    205.   
  
  
  
  205.             MOV WORD PTR DS : [ESI + ECX * 4 + 2], AX; 
    206.   
  
  
  
  206.             INC EAX; 
    207.   
  
  
  
  207.             CMP AX, WORD PTR DS : [EDX + 8]; 
    208.   
  
  
  
  208.             JB SHORT check2; 
    209.   
  
  
  
  209.             POP ESI; 
    210.   
  
  
  
  210.         check1: 
    211.   
  
  
  
  211.             MOV AX, WORD PTR DS : [EDX + 0xA]; 
    212.   
  
  
  
  212.             INC AX; 
    213.   
  
  
  
  213.             MOV WORD PTR DS : [EDX + 0x24], AX; 
    214.   
  
  
  
  214.             MOV AL, BYTE PTR DS : [EDX + 0x22]; 
    215.   
  
  
  
  215.             INC AL; 
    216.   
  
  
  
  216.             MOV BYTE PTR DS : [EDX + 0x23], AL; 
    217.   
  
  
  
  217.             RETN; 
    218.   
  
  
  
  218.         check23: 
    219.   
  
  
  
  219.             PUSH EDI; 
    220.   
  
  
  
  220.             MOV ECX, ESI; 
    221.   
  
  
  
  221.             CALL check35; 
    222.   
  
  
  
  222.             MOV EBX, EDI; 
    223.   
  
  
  
  223.             JMP SHORT check26; 
    224.   
  
  
  
  224.         check35: 
    225.   
  
  
  
  225.             PUSH EBP; 
    226.   
  
  
  
  226.             MOV EBP, ESP; 
    227.   
  
  
  
  227.             PUSH ESI; 
    228.   
  
  
  
  228.             PUSH EDI; 
    229.   
  
  
  
  229.             MOV ESI, ECX; 
    230.   
  
  
  
  230.             NOP; 
    231.   
  
  
  
  231.             MOV AX, WORD PTR SS : [EBP + 8]; 
    232.   
  
  
  
  232.             CMP AX, WORD PTR DS : [ESI + 8]; 
    233.   
  
  
  
  233.             JNB SHORT check36; 
    234.   
  
  
  
  234.             NOP; 
    235.   
  
  
  
  235.             MOV ECX, DWORD PTR DS : [ESI]; 
    236.   
  
  
  
  236.             MOV EDX, DWORD PTR DS : [ESI + 0x1C]; 
    237.   
  
  
  
  237.             MOV EDI, DWORD PTR DS : [ESI + 0x30]; 
    238.   
  
  
  
  238.             MOVZX EAX, AX; 
    239.   
  
  
  
  239.             MOV AL, BYTE PTR DS : [ECX + EAX * 4 + 2]; 
    240.   
  
  
  
  240.             MOV BYTE PTR DS : [EDX + EDI], AL; 
    241.   
  
  
  
  241.             INC DWORD PTR DS : [ESI + 0x30]; 
    242.   
  
  
  
  242.             NOP; 
    243.   
  
  
  
  243.             MOV EAX, DWORD PTR DS : [ESI + 0x30]; 
    244.   
  
  
  
  244.             CMP EAX, DWORD PTR DS : [ESI + 0x2C]; 
    245.   
  
  
  
  245.             JNZ SHORT FuncRetn; 
    246.   
  
  
  
  246.             MOV ECX, ESI; 
    247.   
  
  
  
  247.             CALL check37; 
    248.   
  
  
  
  248.             NOP; 
    249.   
  
  
  
  249.             JMP SHORT FuncRetn; 
    250.   
  
  
  
  250. check36: 
    251.   
  
  
  
  251.             MOVZX EDI, AX; 
    252.   
  
  
  
  252.             MOV EAX, DWORD PTR DS : [ESI]; 
    253.   
  
  
  
  253.             MOV ECX, ESI; 
    254.   
  
  
  
  254.             SHL EDI, 2; 
    255.   
  
  
  
  255.             MOV AX, WORD PTR DS : [EDI + EAX]; 
    256.   
  
  
  
  256.             PUSH EAX; 
    257.   
  
  
  
  257.             CALL check35; 
    258.   
  
  
  
  258.             NOP; 
    259.   
  
  
  
  259.             MOV EAX, DWORD PTR DS : [ESI]; 
    260.   
  
  
  
  260.             MOV ECX, ESI; 
    261.   
  
  
  
  261.             MOV AX, WORD PTR DS : [EDI + EAX + 2]; 
    262.   
  
  
  
  262.             PUSH EAX; 
    263.   
  
  
  
  263.             CALL check35; 
    264.   
  
  
  
  264.             NOP; 
    265.   
  
  
  
  265.             NOP; 
    266.   
  
  
  
  266.             POP EDI; 
    267.   
  
  
  
  267.             POP ESI; 
    268.   
  
  
  
  268.             POP EBP; 
    269.   
  
  
  
  269.             RETN 4; 
    270.   
  
  
  
  270.         check38: 
    271.   
  
  
  
  271.             MOVZX EDX, AL; 
    272.   
  
  
  
  272.             MOVZX EDX, BYTE PTR DS : [EDX + ECX + 0xD]; 
    273.   
  
  
  
  273.             ADD DWORD PTR DS : [ECX + 0x34], EDX; 
    274.   
  
  
  
  274.             MOV EDX, DWORD PTR DS : [ECX + 0x34]; 
    275.   
  
  
  
  275.             CMP EDX, DWORD PTR DS : [ECX + 0x28]; 
    276.   
  
  
  
  276.             JB SHORT FuncRetrn2; 
    277.   
  
  
  
  277.             INC AL; 
    278.   
  
  
  
  278.             CMP AL, 4; 
    279.   
  
  
  
  279.             MOV BYTE PTR DS : [ECX + 0xC], AL; 
    280.   
  
  
  
  280.             JNB SHORT Frtn; 
    281.   
  
  
  
  281.             MOVZX EAX, AL; 
    282.   
  
  
  
  282.             MOVZX EAX, BYTE PTR DS : [EAX + ECX + 0xD]; 
    283.   
  
  
  
  283.             SHR EAX, 1; 
    284.   
  
  
  
  284.             MOV DWORD PTR DS : [ECX + 0x34], EAX; 
    285.   
  
  
  
  285.             FuncRetrn2: 
    286.   
  
  
  
  286.             MOV EAX, DWORD PTR DS : [ECX + 0x38]; 
    287.   
  
  
  
  287.             MOV EDX, DWORD PTR DS : [ECX + 0x14]; 
    288.   
  
  
  
  288.             IMUL EAX, DWORD PTR DS : [ECX + 0x34]; 
    289.   
  
  
  
  289.             SUB EDX, EAX; 
    290.   
  
  
  
  290.             MOV DWORD PTR DS : [ECX + 0x1C], EDX; 
    291.   
  
  
  
  291.             Frtn: 
    292.   
  
  
  
  292.             RETN; 
    293.   
  
  
  
  293. FuncRetn: 
    294.   
  
  
  
  294.             NOP; 
    295.   
  
  
  
  295.             POP EDI; 
    296.   
  
  
  
  296.             POP ESI; 
    297.   
  
  
  
  297.             POP EBP; 
    298.   
  
  
  
  298.             RETN 4; 
    299.   
  
  
  
  299.         check37: 
    300.   
  
  
  
  300.             MOV AL, BYTE PTR DS : [ECX + 0xC]; 
    301.   
  
  
  
  301.             AND DWORD PTR DS : [ECX + 0x30], 0; 
    302.   
  
  
  
  302.             CMP AL, 0x0FF; 
    303.   
  
  
  
  303.             JNZ SHORT check38; 
    304.   
  
  
  
  304.             MOV EAX, DWORD PTR DS : [ECX + 0x38]; 
    305.   
  
  
  
  305.             SUB DWORD PTR DS : [ECX + 0x1C], EAX; 
    306.   
  
  
  
  306.             RETN; 
    307.   
  
  
  
  307.         Finished: 
    308.   
  
  
  
  308.             MOV ESP,EBP; 
    309.   
  
  
  
  309.             POP EBP; 
    310.   
  
  
  
  310.             //Debug VS Release build have different stack sizes.  The following is needed for the return parameters and CTYPES 
    311.   
  
  
  
  311. #ifdef _DEBUG 
    312.   
  
  
  
  312.             ADD ESI, 0x120; 
    313.   
  
  
  
  313. #else 
    314.   
  
  
  
  314.             ADD ESI, 0x58; //Need for Pythnon CTypes return parameters! 
    315.   
  
  
  
  315. #endif 
    316.   
  
  
  
  316.             RETN; 
    317.   
  
  
  
  317.         } 
    318.   
  
  
  
  318.     } 
    319.   
  
  
  
  319.     return TRUE; 
    320.   
  
  
  
    321.

通過(guò)IDA Pro或者例如Immunity Debugger這樣的反匯編程序來(lái)獲取匯編代碼并不難,但是在獲得之后,還需要我們進(jìn)行一些處理。特別需要注意的一個(gè)地方就是在代碼塊中進(jìn)行的函數(shù)調(diào)用。在匯編中,每一次調(diào)用過(guò)程都需要一個(gè)名稱(標(biāo)簽),并且所有的代碼需要按照調(diào)用順序正確地排列,否則將產(chǎn)生意外的結(jié)果,或者是直接崩潰。因此,我們?cè)趶?fù)制每個(gè)函數(shù)的匯編代碼時(shí)都需要非常謹(jǐn)慎。在剛剛的例子中,為了方便快速,我直接使用了“check”來(lái)表示函數(shù)名稱或者跳轉(zhuǎn)的位置。

由于LZW使用索引將數(shù)據(jù)編碼到字典中,解壓例程所做的第一件事,就是分配內(nèi)存中的16512字節(jié)(0x4080)的緩沖區(qū)來(lái)創(chuàng)建字典。在匯編中,它使用C++ API malloc分配緩沖區(qū),并將緩沖區(qū)設(shè)置為NULL(這是malloc的工作方式)。有一種更簡(jiǎn)單有效的方法,是使用calloc函數(shù),在減少指令數(shù)量的前提下實(shí)現(xiàn)緩沖區(qū)的分配。

我們首先在C++中進(jìn)行編碼,然后再Visual Studio中使用__asm關(guān)鍵字內(nèi)嵌匯編語(yǔ)言。在__asm內(nèi)的代碼塊就是我們放置匯編指令并進(jìn)行必要調(diào)整的位置:

將EBX設(shè)置為0;

從棧中減去64字節(jié)(0x40),以防止我們覆蓋任何棧的數(shù)據(jù);

將棧指針保存到ESI中;

EDI指向我們通過(guò)calloc創(chuàng)建的字典緩沖區(qū);

EAX指向我們的源數(shù)據(jù);

EDX指向我們的目標(biāo)緩沖區(qū)。

為了滿足解壓縮算法的要求,我們手工添加了下面的9行代碼,其余代碼直接從Immunity Debugger中復(fù)制即可:

 
 
 
 
      
  
  
  
  1. xor ebx, ebx;          //Need to clear ebx register  
    2.   
  
  
  
  2. SUB ESP, 0x40;    //Need to subtract stack, so we don’t overwrite some Ctypes return data 
    3.   
  
  
  
  3. MOV ESI, ESP; 
    4.   
  
  
  
  4. PUSH EAX; 
    5.   
  
  
  
  5. POP EDI;    //Our Temp Buffer 
    6.   
  
  
  
  6. PUSH[EBP + 8];  //Source Buffer 
    7.   
  
  
  
  7. POP EAX; 
    8.   
  
  
  
  8. PUSH[EBP + 0xC];  //Destination Buffer 
    9.   
  
  
  
  9. POP EDX; 
    10.

此時(shí),我們需要做的就是更新匯編調(diào)用,跳轉(zhuǎn)到有意義的名稱,并按正確的順序來(lái)排列它們?,F(xiàn)在代碼應(yīng)該可以編譯并運(yùn)行了。但當(dāng)例程結(jié)束后,我們必須手動(dòng)恢復(fù)棧,從而讓Python ctypes返回到正確的調(diào)用方。我們添加了以下代碼:

 
 
 
 
      
  
  
  
  1. Finished: 
    2.   
  
  
  
  2. MOV ESP,EBP; 
    3.   
  
  
  
  3. POP EBP; 
    4.   
  
  
  
  4. //Debug VS Release build have different stack sizes.  The following is needed for the return parameters and CTYPES 
    5.   
  
  
  
  5. #ifdef _DEBUG 
    6.   
  
  
  
  6. ADD ESI, 0x120; 
    7.   
  
  
  
  7. #else 
    8.   
  
  
  
  8. ADD ESI, 0x58; //Need for CTypes return parameters!!!! 
    9.   
  
  
  
  9. #endif 
    10.   
  
  
  
  10. RETN; 
    11.   
  
  
  
    12.

在這里,我們嘗試恢復(fù)堆棧指針寄存器(SP)和基址指針寄存器(BP),并將0x120或0x58添加到ESI,具體要取決于VS的版本是測(cè)試版還是正式版。

調(diào)用DLL

至此,我們就有了一個(gè)DLL,可以開始調(diào)用它,并通過(guò)Python和ctypes來(lái)傳遞它的數(shù)據(jù)。下面這個(gè)Python腳本的作用就是利用這個(gè)DLL,來(lái)解密Reaver的數(shù)據(jù):

 
 
 
 
      
  
  
  
  1. #------------------------------------------------------------------------------- 
    2.   
  
  
  
  2. # Name:        LzwDecompression 
    3.   
  
  
  
  3. # Purpose: 
    4.   
  
  
  
    5.   
  
  
  
  5. # Author:      Mike Harbison Unit 42 
    6.   
  
  
  
    7.   
  
  
  
  7. # Created:     11/11/2017 
    8.   
  
  
  
  8. #-------------------------------------------------------------------------------
                                                網(wǎng)站名稱:一種快速提取惡意軟件解密邏輯代碼的方法                                                
    
                                                標(biāo)題路徑:http://m.5511xx.com/article/coeecoe.html