عند تحليل الفيروس، وغالبا ما نواجه ظاهرة غريبة جدا، وذلك باستخدام أداة بحث لعرض تعبئة حالة عينة من الواضح أن لا، ولكن عندما فك أو التصحيح، ولكن لا يمكن أن نرى عينات الخبيثة بشكل حدسي، وهذا هو السبب؟ ببساطة، لأن المهاجم يستخدم طرق التشفير مخصصة لتحقيق، وليس تحليل صحيح وتنفيذ إجراءات ضارة في الوقت عينة المدى، لذلك نرى عينة فقط لا فك الطريق الذاتي فك شفرة المنطق الطبيعي والشيفرات الخبيثة .
تقنية التالية لتجسس الشيفرات الخبيثة منه إلى فك على سبيل المثال، ما يلي هو فيروس Ammyy تحميل (MD5: 28EAE907EA38B050CBDCC82BB623C00A)، وذلك باستخدام قذيفة التحقيق DIE وجد أن العينة لا يضيف أي قذيفة.
ومع ذلك، عندما سلسلة البحث، لكنها فشلت في العثور على بعض الجمل المشبوهة (مثل تحميل غالبا ما يكون رابط خبيث)، لنرى مجرد حفنة من رطانة، على ما يبدو، هو الأكثر احتمالا لاستخدام تقنية فك شفرة الذاتي العينة .
فك العينة، فمن الصعب أن نرى المنطق رمزها، نداء الكثير من عنوان دينامية.
لهذه العينة، المنقح من الصعب أن نرى بعض العمليات الهامة، لأن معظمهم من عملية فك التشفير، وذلك فقط خطوة واحدة من خلال المصحح. يخطو مهارات جيدة لا شيء، تجربة هارب اتصل على نقطة توقف ثم إعادة التكليف. التصحيح، تولي اهتماما لVirtualAlloc، GlobalAlloc، HeapCreate هذه الوظائف، لأن التعليمات البرمجية الخبيثة عادة فترة من مساحة الذاكرة تطبيق لتخزين فك التشفير من الشيفرات الخبيثة باستخدام هذه الوظائف. أدناه، العينة يخلق مكالمة هو 0 230000 HeapCreate هذه الذاكرة.
متبوعا برمز جي الخبيثة + بطريقة دورية RETN لفك تشفير البيانات في 0 230000.
بعد الانتهاء من فك التشفير، يدعو الشيفرات الخبيثة تدفق التنفيذ من استدعاء اي اس آي 0x40XXXX 0 230000.
ومع ذلك، لا يتم تنفيذ التعليمات البرمجية 0 230000 في صميم الأعمال الخبيثة التي تهدف إلى 0x40XXXX تعديل شفرة المصدر. أدناه، فإنه سيتم استدعاء 0 400000 VirtualProtect السمة الذاكرة لRW (قراءة والكتابة)، وكذلك تعديل التعليمات البرمجية الأصلي.
0 400000 شريحة ذاكرة السمة تعديل على النحو التالي.
إنهاء تعديل التعليمات البرمجية للاتصال يتعين القيام بها أحزاب اللقاء المشترك ESI قفزة الى الوراء 0x40XXXX في هذا الوقت، تم تعديل هذا الرمز الذاكرة، وبدأ أخيرا لتنفيذ إجراءات ضارة من جوهر.
اكتشفت تفريغ الذاكرة، والشيفرات الخبيثة الآن رمز وفك بالفعل، فإن منطق البرنامج واضحة للعيان، يمكنك العثور على فيروس عنوان ليتم تحميلها من خلال سلسلة البحث.
حتى الآن، تم تحليل وظائف تحميل، وظيفتها الرئيسية هي لتحميل وتشغيل فيروس Ammyy من
وهكذا، تم التوصل إلى أنه، من الخبيثة خطوة كود فك التشفير بشكل عام، هي الخطوات الخمس التالية: تطبيق الذاكرة - > نسخ البيانات - > البيانات فك تشفير - > الانتقال إلى تنفيذ كومة من الشيفرات الخبيثة - > القفز مرة أخرى وتعديل التعليمات البرمجية المصدر. ومع ذلك، قد يكون لدينا أدنى شك، لماذا الفيروس ليس مباشرة عن تنفيذ كومة من صميم الأعمال الخبيثة، ولكن أيضا إلى فك تشفير تنفيذ الأساسية من الشيفرات الخبيثة 0 400000 الفضاء عن طريق تعديل التعليمات البرمجية الأصلية. وذلك لأن بعض من أكثر كبار من رمل، قتل خلق فيروس البرمجيات تراقب مساحة ذاكرة كبيرة، ثم حرر مرة واحدة رمز فك التشفير وعلى الفور رمل، يتم الكشف قتل الناعمة، ومن المسلم به عموما في قانون كومة ليس فقط توجيه جوهر إجراءات ضارة.
منذ فهم تقنيات كود فك التشفير الخبيثة، نلقي نظرة على فيروس GandCrab الابتزاز الشعبي الأخير (MD5: 48A673157DA3940244CE0DFB3ECB58E9)، ومثل هذه التكنولوجيا الذاتي فك شفرة تستخدم لتحقيق مجانا للقتل. استخدام DIE العينات للاختبار، لم تظهر التغليف.
منذ تقنيات التشفير المذكورة أعلاه مع ما شابه ذلك، بعض التطبيقات مساحة الذاكرة 0 1280000.
كود كومة هو المسؤول عن تعديل التعليمات البرمجية الأصلي والقفز تنفيذها الظهر.
بعد الظهر القفز، رمز 0 403016 هي في صميم الشيفرات الخبيثة فك شفرة، ثم يمكنك تصحيح GandCrab الشيفرات الخبيثة.
لتفريغ الذاكرة أسفل المنطق كود قد تحليل الملف المشفر.
الاستعلام الفيروس VT أفاد قضايا المخدرات، فقط ما يقرب من نصف محرك المخدرات المبلغ عنها، ولكن معظم ذكرت نوع الفيروس لا يمكن أن يكون موجودا للحصول على فدية، على ما يبدو، GandCrab بهذه الطريقة الذاتي فك شفرة أو لعبت لها تأثير معين على قتل تجنب .
* الكاتب: مقتنع بعمق مختبر أمن استبصار، وأعيد طبعه من FreeBuf.COM
