查看: 2120|回复: 5
收起左侧

[讨论] 趋势研发中心的博文--专杀工具开发过程全揭秘

[复制链接]
Sammi888
发表于 2009-7-18 17:49:24 | 显示全部楼层 |阅读模式
你的电脑也许没装杀毒软件正在“裸奔”,但是当“网游窃贼”四处作案,“熊猫烧香”烟雾缭绕,“灰鸽子”满天飞的时候,你一定会想到病毒专杀工具,你也一定对出击迅速救人于水火的专杀工具的开发过程充满好奇。今天,我以趋势科技中国研发中心开发的WORM_DOWNAD/Conficker专杀工具WadKiller为例,为你揭开她神秘的面纱。

在开发WORM_DOWNAD专杀工具之前,趋势科技已经发布了病毒特征码,能够成功检测并清除WORM_DOWNAD。然而,在对病毒分析的过程中,我们发现WORM_DOWNAD会自动联网进行版本更新,这意味着刚发布的特征码可能对下一个版本的WORM_DOWNAD就失效了。最重要的是,病毒并不需要像趋势科技一样对客户负责,它们可以通过更频繁的更新来逃避杀毒软件的法眼。如果真是这样的话,我们岂不是要永远在后面追?有没有更好的办法来查杀WORM_DOWNAD呢?光想不练假把式,还是先仔细分析分析WORM_DOWNAD到底会做些什么吧。

友情提示】做专杀工具,首要的事情就是分析病毒。拿到病毒样本后(趋势科技通过客户反馈、蜜罐等各种途径,保证在第一时间拿到病毒样本,并迅速发布解决方案),对病毒的分析分为静态分析和动态分析。所谓静态分析,就是通过IDA等工具反编译程序、破解它们的保护机制以及研究清楚它们的触发条件。而动态分析则是在虚拟机中通过OllyDbg、InstallRite、Process Explorer、Rootkit Buster等工具进一步分析病毒的行为。有些病毒有Anti-VM功能,能自动检测虚拟化环境并停止运行,这时候就需要在真实的实验机器上运行病毒。

通过分析,我们已经知道了WORM_DOWNAD会检测VM的加速功能,所以需要在运行病毒样本前关闭VM的加速功能,如图1所示。



设置好了VM,把WORM_DOWNAD病毒样本运行起来,从InstallRite的记录很容易看出来WORM_DOWNAD在system32目录下生成了一个DLL文件symzrcal.dll,并且在注册表的svchost服务下面加了一项新服务rduktdn(HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\ netsvcs)。

友情提示】把病毒样本运行起来后,记得先用趋势科技的免费工具Rootkit Buster检测一下Rootkit。这是因为,如果病毒使用了Rootkit,用其它工具收集到的病毒行为都有可能是Rootkit制造的假象!

用Process Explorer查找,发现并没有进程加载新生成的symzrcal.dll。难道是病毒并没有成功运行?考虑到svchost下面的服务只会在系统重新启动后才会自动运行,重启系统,等待片刻,再用Process Explorer查找,发现还是没有任何进程加载symzrcal.dll。打开IE,连接网站http://www.trendmicro.com,发现网站打不开,符合中毒症状。怪哉!WORM_DOWNAD到底在以一种什么样的方式运行呢?看来需要再仔细分析一下它在DLLMain里干了什么。
老老实实用Ollydbg看汇编吧...此处省略若干小时的浴血奋战…终于发现端倪:这个DLL的DLLMain先在堆上分配了一块内存,然后将一部分要执行的代码拷贝到了这块内存,最后创建线程把这段代码执行起来,DLLMain就返回FALSE了。由于DLLMain返回FALSE,系统认为这个DLL并没有成功加载起来,所以用Process Explorer当然找不到了,而病毒实际上已经运行起来了。好聪明的做法!!…膜拜中…等等,这种线程与普通的正常线程应该不一样吧。我们知道,普通的线程的初始函数都是EXE或DLL文件中的函数,而WORM_DOWNAD创建的这些线程的初始函数却是进程堆中的一个地址。这能否作为我们检测WORM_DOWNAD的一个特征呢?根据经验,我们有充足的理由相信,将来不管WORM_DOWNAD怎么更新,它这个基本的行为特征是不会变的。这不正是我们众里寻他千百度的检测特征吗!?

接下来的事情就比较顺利成章了:分析其它已经出现的WORM_DOWNAD变种,验证我们的想法,开发工具,测试…

后话】在我们的专杀工具WadKiller发布后,WORM_DOWNAD又出现了新的变种WORM_DOWNAD.F等,WadKiller都能成功查杀!事实证明,根据线程特征来检测WORM_DOWNAD病毒家族确实是一种稳定有效的方法。

[ 本帖最后由 Sammi888 于 2009-7-20 17:11 编辑 ]
novahy
发表于 2009-7-18 21:42:54 | 显示全部楼层
好专业
(图挂了)
algebra
发表于 2009-7-18 22:38:27 | 显示全部楼层
LZ这贴国外大区也有一样的
Sammi888
 楼主| 发表于 2009-7-20 11:47:53 | 显示全部楼层
不会吧,这是我从趋势研发中心的博客上转过来的,他们工程师自己写的啊。国外的大区哪里有?

[ 本帖最后由 Sammi888 于 2009-7-20 17:09 编辑 ]
cs_virus
发表于 2009-7-20 18:26:26 | 显示全部楼层
确实是AV工程师写的。。。。
darreol
发表于 2009-7-20 20:31:31 | 显示全部楼层
趋势还是不错的
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-25 06:32 , Processed in 0.120849 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表