<span id="7ztzv"></span>
<sub id="7ztzv"></sub>


<span id="7ztzv"></span><form id="7ztzv"></form>


<span id="7ztzv"></span>
    

      

        <address id="7ztzv"></address>
            
				
            原文地址:http://drops.wooyun.org/papers/8814
            
				
      
            
        
            http://int0xcc.svbtle.com/a-guide-to-malware-binary-reconstruction
            


            在分析惡意軟件或對惡意軟件進行脫殼的時候,我們經常會遇到重建PE文件的需求。現在大多數自動化的PE重建工具雖然很棒,但并不能針對每一種情況,有時候需要我們自己手動重建PE文件。在這篇博客中,我們將介紹一些重建PE文件的方法。
            


            0x00 重建“stolen API code”的IAT表
            


            


            “stolen API code”技術常被惡意軟件用于阻撓逆向人員脫殼之后重建IAT表,從而達到反脫殼的效果。具體修復“stolen API code”后IAT表的方法在后面會介紹到,我們先了解一下IAT在PE(Portable Executable)文件里面的具體實現。
            


            0x01 IAT基礎知識
            


            


            IAT(Import Address Table)是PE文件里面的一種結構,它包含了Windows loader加載動態鏈接庫和導入API函數地址的信息。查看PE文件的時候你應該注意到IMAGE_OPTIONAL_HEADER結構里面的兩個指針:一個指向IMAGE_IMPORT_DESCRIPTOR,另一個指向導入函數地址的數組。
            


            




            函數可以通過函數名稱或序號(API號)導入。
            


            FirstThunk成員指向導入的API函數數組(也稱為導入地址表)。
            


            上圖顯示了一個kernel32.dll的導入函數GetProcAddress()的例子。
            


            


            加殼程序通常會破壞IAT表的原始形式,由殼代碼自己解決函數導入而不是依靠Windows loader。因此脫殼后需要重建程序的IAT表,下面我們將使用Scylla v0.9.6b這個工具來重建IAT。
            


            0x02 Stolen API code
            


            


            一些加殼程序會使用“stolen code”技術防止逆向人員重建IAT表。“stolen code”重新把跳轉到API函數的指令在某個內存區域被重新仿真。所以使用掃描器掃描這些導入函數的時候得到的是一些無效的API指針。
            


            


            


            


            使用“stolen API code”技術的情況下,Scylla是無法自動重建IAT表的。我們需要寫一個Scylla插件方便獲得正確的偏移然后重建IAT表。
            


            0x03 編寫一個Scylla插件
            


            


            Scylla插件的基本上是以DLL文件形式注入到目標進程。為此它提供構建插件所需的API接口,還有讓Scylla插件方便嵌入到目標程序的接口。此外Scylla還提供了一個命名內存映射文件用于Scylla插件在目標程序中可以獲取一些信息。
            


            Scylla提供命名的文件映射用于目標DLL指向特定的內存區域。
            


            這個內存映射文件名為“ScyllaPluginExchange”。
            


            通過ScyllaPluginExchange可以獲取到以下的信息:
            


            


            UNRESOLVED_IMPORT結構體通過SCYLLA_EXCHANGE.offsetUnresolvedImportsArray成員取得。
            


            編寫插件的第一步是利用Scylla提供的命名內存映射文件拿到SCYLLA_EXCHANGE結構體的基地址:
            


            #!c++
BOOL getMappedView()
{
    hMapFile = OpenFileMappingA(FILE_MAP_ALL_ACCESS, 0, FILE_MAPPING_NAME); //open named file mapping object    

    if (hMapFile == 0)
    {
        writeToLogFile("OpenFileMappingA failed\r\n");
        return FALSE;
    }    

    // lpViewOfFile就是SCYLLA_EXCHANGE結構體的基地址
    lpViewOfFile = MapViewOfFile(hMapFile, FILE_MAP_ALL_ACCESS, 0, 0, 0); //map the view with full access
    if (lpViewOfFile == 0)
    {
        CloseHandle(hMapFile); //close mapping handle
        hMapFile = 0;
        writeToLogFile("MapViewOfFile failed\r\n");
        return FALSE;
    }
    return TRUE;
}

            


            UNRESOLVED_IMPORT包含了一個未解決的導入函數列表。
            


            #!c++
typedef struct _UNRESOLVED_IMPORT {       // Scylla Plugin exchange format
    DWORD_PTR ImportTableAddressPointer;  //in VA, address in IAT which points to an invalid api address
    DWORD_PTR InvalidApiAddress;          //in VA, invalid api address that needs to be resolved
} UNRESOLVED_IMPORT, *PUNRESOLVED_IMPORT;

            


            ImportTableAddressPointer指針指向有效的API地址。InvalidApiAddress指針指向未決斷的API函數地址,在本文例子中,這是一塊動態分配的內存區域,那些被偷的代碼(stolen code)就是在這里進行仿真。
            


            


            可以看到我們需要計算每個ImportTableAddressPointer到jmp指令有多少個字節,然后取出JMP指令所跳轉的目標地址減去這個字節數得到原來的API基地址:
            


            #!c++
    while (unresolvedImport->ImportTableAddressPointer != 0) //last element is a nulled struct
    {
        insDelta = 0;
        invalidApiAddress = unresolvedImport->InvalidApiAddress;
        sprintf(buffer, "API Address = 0x%p\t IAT Address = 0x%p\n",  invalidApiAddress, unresolvedImport->ImportTableAddressPointer);    

        writeToLogFile(buffer);    

        IATbase = unresolvedImport->InvalidApiAddress;
        for (j = 0; j <  COUNT_INS; j++)
        {
            memset(&inst, 0x00, sizeof(INSTRUCTION));    

            i = get_instruction(&inst, IATbase, MODE_32);
            memset(buffer, 0x00, sizeof(buffer));
            get_instruction_string(&inst, FORMAT_ATT, 0, buffer, sizeof(buffer));
            if (strstr(buffer, "jmp"))
            {    

                printf(" JUMP Dest = %d" , ( (unsigned int)strtol(strstr(buffer, "jmp") + 4 + 2, NULL, 16)));
                *(DWORD*)(unresolvedImport->ImportTableAddressPointer) =  ( (unsigned int)strtol(strstr(buffer, "jmp") + 4 + 2, NULL, 16) + IATbase ) - insDelta;
                unresolvedImport->InvalidApiAddress = ( (unsigned int)strtol(strstr(buffer, "jmp") + 4 + 2, NULL, 16) + IATbase ) - insDelta;
                break;
            }
            else
            {
                insDelta = insDelta + i;
            }    

            IATbase = IATbase + i;
        }
        unresolvedImport++; //next pointer to struct
    }

            


            這段代碼將遍歷所有未決斷的導入函數,并嘗試定位到正確的API地址。
            


            JMP指令的目標地址減去insDelta就可以得到最終的InvalidApiAddress地址:
            


            #!c++
unresolvedImport->InvalidApiAddress = ((unsigned int)strtol(strstr(buffer, “jmp”) + 4 + 2, NULL, 16) + IATbase) - insDelta;

            


            在修復整個IAT表之后可能還會有一些無效的導入地址,這些無效的導入地址需要手動把它們刪除掉。
            


            


            


            運行上面編寫的插件之后還有一些殘留的無效地址,現在手動把它們刪掉:
            


            


            


            0x04 導出RunPE加殼后的程序
            


            


            RunPE的工作原理是創建一個暫停狀態的dummy進程,然后挖空并注入惡意代碼。這種技術常用于隱藏惡意代碼。RunPE注入的代碼可以導出為一個有效的PE文件。對于PE+文件頭需要修改一下,因為64位架構的PE文件一些字段使用了QWORD類型。
            


            Windows loader加載程序到內存后根據IMAGE_SECTION_HEADER.VirtualSize進行對齊。但是Section表的RawSize可能會小于VirtualSize,這個時候會操作系統需要填充這塊區域。
            


            磁盤上的PE文件是根據IMAGE_OPTIONAL_HEADER64.FileAlignment進行對齊的,因此從內存中導出PE文件之后還需要根據IMAGE_OPTIONAL_HEADER64.FileAlignment對PE文件進行對齊。
            


            


            


            用IDA加載導出的PE文件時提示無法找到正確的虛擬地址,因為它的PE文件不對齊。
            


            


            這個問題很好解決,我們先取出PE+文件結構:
            


            #!c++
IMAGE_DOS_HEADER DosHdr = {0};
IMAGE_FILE_HEADER FileHdr = {0};
IMAGE_OPTIONAL_HEADER64 OptHdr = {0};    

// Read All Structure as per offset    

fread(&DosHdr, sizeof(IMAGE_DOS_HEADER), 0x01, fp);    

fseek(fp, (unsigned int)DosHdr.e_lfanew + 4,SEEK_SET);    

fread(&FileHdr, sizeof(IMAGE_FILE_HEADER), 1, fp);
fread(&OptHdr, sizeof(IMAGE_OPTIONAL_HEADER64), 1, fp);

            


            遍歷讀取所有section header:
            


            #!c++
    while (iNumSec < FileHdr.NumberOfSections)
    {
        fread(&pTail[iNumSec], sizeof( IMAGE_SECTION_HEADER), 1, fp);
        iNumSec++;
    }

            


            然后讀取第一個section的PointerToRawData:
            


            #!c++
    i = ftell(fp);    

    buffer = (unsigned char*) malloc(sizeof(char) * pTail[0].PointerToRawData + 1);    

    fseek(fp, 0, SEEK_SET);    

    fread(buffer, pTail[0].PointerToRawData, 1, fp); // Read/Write Everything Till the beginning of first section    

    fwrite(buffer, pTail[0].PointerToRawData, 1, out);

            


            最后,將數據以一個對齊的形式重寫:
            


            #!c++
    while ( i < iNumSec)
    {    

        buffer = (unsigned char*) malloc(sizeof(char) * pTail[i].SizeOfRawData + 1);    

        fseek(fp, pTail[i].VirtualAddress, SEEK_SET);
        fread(buffer, pTail[i].SizeOfRawData, 1, fp);    

        fwrite(buffer, pTail[i].SizeOfRawData, 1, out);
        i++;
    }

            


            全部修復完成之后就可以得到一個正確的PE文件,下面是IDA加載那個修復好的PE文件:
            


            


            sample_plugin.rar
                  
            
    
			

            <span id="7ztzv"></span>
            <sub id="7ztzv"></sub>
            

            <span id="7ztzv"></span><form id="7ztzv"></form>
            

            <span id="7ztzv"></span>
              

                

                  <address id="7ztzv"></address>
                      

亚洲欧美在线