0x1 PE文件与免杀思路
基于PE文件结构知识的免杀技术主要用于对抗启发式扫描。
通过修改PE文件中的一些关键点来达到欺骗反病毒软件的目的。
- 修改区段名
1.1 移动PE文件头位置免杀
工具:PeClean
SizeOfOptionalHeader字段来描述扩展头的大小,恒定值为0xE0。
某些程序直接使用0xE0对PE文件进行处理,对于修改过的程序会被识别为非PE文件。
1.2 导入表移动免杀
通过修改程序里导入表ThunkValue值实现。
- 1)通过ThunkValue的偏移地址,找到API函数名
- 2)将原地址的API函数名移动到其他空白处
- 3)00填充掉原地址的API函数名
- 4)修改ThunkValue值为新移动的地址
1.3 导出表移动免杀
通过修改导入表中API函数名的相对偏移地址实现。
- 获取API函数名的RAV(相对虚拟地址)
- 将API函数名移动到新位置
- 将API函数名相对偏移地址填写回原先记录的地方
0x2 PE文件与反启发式扫描
其它非与PE文件相关的启发式扫描请参考第16章“免杀技术前沿”内容。
2.1 最后一个区段为代码段
启发特征:最后一个区段为代码段。这会引发“异常的入口点”。如果入口点被定位在了非正常的代码段上,则会被启发式扫描引擎查杀。
2.2 可疑的区段头部属性
蠕虫在感染一个文件时有三种方案,这些方案都要求会修改代码段具有可写属性。
- 1 增加一个新的可执行区段
- 2 现有的代码段中插入恶意代码
- 3 将恶意代码分别穿插到不同的区段中,并修改相应区段的属性
启发特征:一个正常的可执行程序如果出现多个具有可执行属性的区段,就会制造出这些特征。
2.3 可疑的PE选项头的有效尺寸值
启发特征:这一项启发特征是基于 “移动PE文件头免杀”建立起来的。用于试图修改选项头大小而隐藏更多敏感数据的恶意程序。
2.4 可疑的代码节名称
启发特征:如果产生了编译器厂商之外的区段名,则启发特征判定为恶意程序。
2.5 多个PE头部
启发特征:可执行文件中含有需要释放的DLL或者SYS。
注:一般情况下将其中包含的可执行文件加密即可避免出现这个特征。
2.6 导入表项存在可疑导入
启发特征:
- 无效导入表
- 偏移形式调用API
- 特定恶意行为的API序列
注:黑客一般会使用自己实现的GetProcAddresss函数,以便用散列值寻找并调用相关敏感API
0x3 隐藏导入表
隐藏导入表思路
- 简单异或加密
- 导入表单项移除
- 重构导入表
- 利用HOOK方式打乱其调用
3.1 操作原理与先决条件
原理:
- 1)手工将指定导入项的IAT(Import Address Table)删除掉
- 2)在启动初期用正确的值填充IAT
条件限制:
- OriginalFirstThunk字段是一个以0x00000000结尾的32位数组,将INT填充为0x00000000删掉后,
会导致在此IAT项后面所有由此DLL导入的函数失效。
3.2 修改PE文件
简单的例子
3.3 构造我们的反汇编代码
没看懂RegisterClassExW的起始地址是怎么得到的。
0x4 小结
-
PE免杀入门技巧
-
对PE免杀入门技巧的启发式扫描规则
-
反启发式扫描PE免杀技巧
