欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

共享软件中恶意代码插入技术研究

来源:本站整理 作者:佚名 时间:2018-06-12 TAG: 我要投稿

一、   前言
过去的Windows系统,漏洞百出,防不胜防,因此第三方杀毒软件几乎是装机必备。随着windows系统的不断更新,其安全防护措施也不断加强,传言Windows自带的windows defender已经可以完全替代第三方杀毒软件的工作,那么是否还需要安装第三方杀毒软件呢?
其实,恶意软件和杀毒软件是一对好兄弟,它们一直互相斗争、互相进步,随着杀软技术的提高,免杀技术也在不断提高。有些恶意程序的关注重点已经不在于“干坏事”了,它们已经把目光放在了“流量”上,毕竟现在是流量为王的时代。各种恶意程序通过广告、捆绑等形式来发展自己,其中的重灾区就是各种网站的下载工具。就连某搜索引擎提供的下载中心中的软件都被添加了恶意代码。

2012年多个SSH客户端中被发现植入后门,导致了大量SSH帐号密码泄露;2018年5月再次发生类似事件。攻击者是如何在正常的软件内添加恶意代码又不影响原程序执行的呢?
天融信阿尔法实验室对他们的实现原理和方法以及杀毒软件检测情况进行了分析。一般给程序加恶意代码而不影响程序运行的方式主要有两种:添加额外区段添加shellcode和利用代码洞添加shellcode。
二、   添加额外区段添加shellcode
添加额外区段添加shellcode是指通过添加区段把shellcode添加到一个PE文件中,其优点是不需要考虑shellcode的大小、容易实现、易于自动化。缺点是既然是“额外段”,shellcode位置固定,就好像人身体多出个“零件”,非常容易被杀软检测到。
通过添加区段添加shellcode,我们需要完成以下工作:
PE文件添加额外区段
把准备好的shellcode拷贝到该区段中
改变程序执行流程,先执行shellcode再运行正常程序
用到的工具:VC6.0 (或其他IDE)、LordPE、010Editor、OD/X64Dbg
a)  PE文件准备:
用VC6.0编译生成一个32位MFC小程序。
示例程序下载地址:链接: https://pan.baidu.com/s/1r82qf1F7AUdj-jjIDrS9Ew 密码: b5rz
b)  使用LordPE打开并编辑PE文件,添加区段

c) 编辑区段大小和属性

区段大小为shellcode大小对0×200取整,我们暂定0×1000

因为我们的shellcode需要执行,可能被添加的shellcode执行时还要自修改,所以我们需要把区段属性改为可读可写可执行。最后别忘记保存。



d) 填充区段内容
这时候我们添加的区段还只是理论存在的区段,文件本身并没有这段内容 (文件大小未变),下面我们利用010Editor等二进制工具给文件实际添加上这段空间。
用010Editor打开我们刚才编辑的PE文件,移动到文件的最后位置0×33000,插入0×1000个字节。


到这里,我们就完成了一个内容完全为0的区段的添加。
e)  拷贝shellcode到新区段
拷贝一份我们准备好的Hello World!的shellcode(实现一个弹框的功能)到该区段
60 83 EC 20 EB 41 47 65 74 50 72 6F 63 41 64 64
72 65 73 73 4C 6F 61 64 4C 69 62 72 61 72 79 45
78 41 00 55 73 65 72 33 32 2E 64 6C 6C 00 4D 65
73 73 61 67 65 42 6F 78 41 00 48 65 6C 6C 6F 20
57 6F 72 6C 64 21 00 E8 00 00 00 00 5B E9 9F 00
00 00 55 8B EC 83 EC 0C 52 8B 55 08 8B 72 3C 8D
34 32 8B 76 78 8D 34 32 8B 7E 1C 8D 3C 3A 89 7D
FC 8B 7E 20 8D 3C 3A 89 7D F8 8B 7E 24 8D 3C 3A
89 7D F4 33 C0 EB 01 40 8B 75 F8 8B 34 86 8B 55
08 8D 34 32 8B 5D 0C 8D 7B BA B9 0E 00 00 00 FC
F3 A6 75 E3 8B 75 F4 33 FF 66 8B 3C 46 8B 55 FC
8B 34 BA 8B 55 08 8D 04 32 5A 8B E5 5D C2 08 00
55 8B EC 83 EC 08 8B 5D 14 8D 4B D7 6A 00 6A 00
51 FF 55 0C 8D 4B E2 51 50 FF 55 10 89 45 FC 8D

[1] [2] [3] [4] [5] [6] [7] [8]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载