שְׁאֵלָה:
כיצד להשיג גוף וירוס של תוכנות זדוניות פולימורפיות
user1744108
2013-07-07 22:17:44 UTC
view on stackexchange narkive permalink

אני רוצה לפענח תוכנות זדוניות פולימורפיות ורוצה להשיג גוף נגיף ממשי שעומד לעשות זיהום. ניסיתי לפענח את virut.ce (זו תוכנה זדונית פולימורפית אחת) ב- ollyDbg אבל היא משתמשת בטכניקת אנטי-איתור באגים ואנטי-הדמייה ולכן קשה מאוד למצוא גוף וירוס.

אני מסוגל לקבל נגיף. גוף של וירוס מוצפן. אך במקרה של נגיף פולימורפי, שגרת הפענוח משתנה ולכן קשה להשיג גוף וירוס.

האם מישהו יכול להציע לי גישה טובה יותר להשיג גוף וירוס. או יכול להציע תוכנות זדוניות פולימורפיות פשוטות אחרות שאוכל לבצע ניפוי באגים ב- OllyDbg. המטרה שלי היא להשיג גוף נגיף מתוכנות זדוניות פולימורפיות.

אם יש לך מחשב שמאפשר IVT (רוב המחשבים של ימינו), תוכל להתקין את [Ether] (http://ether.gtisc.gatech.edu/): ניתוח תוכנות זדוניות באמצעות הרחבות וירטואליזציה של חומרה עם Debia-lenny-5 האינטרנט גם מספק שירות פריקה. כידוע, רק נגיפים המיועדים למטרות מחקר יכולים לעקוף את כלי האתרים. השתמשתי בכלי זה בעבודת המחקר שלי. זה מדהים
האם ניסית את הכלי הזה ניתן לפענח את רוב וירוסי ההצפנה שלך. האם אוכל לדעת מה מקור הנגיפים שלך ??
מכיוון ששאלתך קשורה גם לאבטחה תוכל לפרסם את שאלתך בכתובת [IT-Security: tag: Malware] (http://security.stackexchange.com/questions/tagged/malware?sort=votes&pagesize=15)
אני לוקח וירוסים פולימורפיים ממחשוב פוגעני. לקחתי וירוסים כמו virut.ce, בולצאנו. עכשיו אני מנסה את הכלי שציינת. אך כפי שאמרת רק וירוסים המיועדים למטרת מחקר יכולים לעקוף את אתר, אינני בטוח אם הנגיפים הללו יועברו. היכן אוכל לראות את הנגיפים המשמשים למטרות מחקר או שיכולים לעבור אתר?
אתר הוא כלי טוב מאוד, והוא נותן לך זבל עבור כל נקודת כניסה במכונה ** מארחת **. כן זה קצת קשה להתחיל לעבוד עם זה אבל זה יחזיר לכם את עלות הזמן. על ידי עקיפתי אמצעי נגיף כלשהו יכול לזהות אפילו אתר ולמנוע עצמו מפענוח. מאמר זה של וירוס [דני קוויסט] (http://www.offensivecomputing.net/?q=blog/4). - מערך הנתונים שלי היה מורכב מ (1) וירוסים אמיתיים: נתונים מורשים (על ידי חברה), כמה וירוסים שקיבלתי מ [מארק בול] (http://www.cs.sjsu.edu/~stamp/cv/ mss.html) אדוני (2) עשיתי גם ניתוח כלים על נגיפים סינתטיים. עמים בתעשייה יודעים פחות על הכלי הזה
[זיהוי מבוסס תוכנה זדונית באמצעות ניתוח דינמי] (http://www.stat.lanl.gov/staff/CurtStorlie/malware_JCV.pdf)
שְׁלוֹשָׁה תשובות:
Stolas
2013-07-08 11:44:56 UTC
view on stackexchange narkive permalink

נשמע כמו אתגר מהנה!

כדי להשיג את גוף התוכנה הזדונית אני ממליץ לך להשתמש ב- IDA Pro במקום באולי (אבל זו באמת בחירה שלך). בכל מקרה, ראשית הייתי ממליץ להתחקות אחר מה שהוא עושה, לעשות זאת באמצעות ארגז חול. למד כיצד תוכנה זדונית מזהה זאת וחשוב על דרך לעקוף מנגנון זיהוי זה. קרא מאמרים אחרים ולמד כיצד פועל קוד פולימורפי ואפילו מטמורפי. תמיד אהבתי את נייר המטמורפיזם ב- OpenRCE http://www.openrce.org/articles/full_view/29

הגעה לשם

על מנת תעבור את זה אני ממליץ לכתוב הרבה תוספים לפרק וכו 'עבור IDA. ראה בתוכנות זדוניות איגודים. ראשית יש לנתח את השכבה הראשונה, לבנות תוסף כדי לפרק אותה באופן אוטומטי (סטטי) (שוב IDA) ולהמשיך לעשות זאת עד שתשיג את כל העניין להפוך. הסר את הטכניקות (bytepatch) נגד ניפוי באגים ובאמת הכיר כיצד הדבר הזה מתפקד.

תוכנות זדוניות קשות באופן בסיסי הוא תהליך מייגע ארוך שלא ניתן לאוטומציה. עושה את זה ממש כיף לנתח אותם. אם אתה רוצה ניתוחים מהירים יותר אתה יכול להסתכל על TitaniumCore או להגיש את הדגימה לאתר VirusExchange כמו מחשוב פוגע :)

שיהיה לך טוב וטוב!

תודה על התשומות שלך. אתה יכול להציע איזה ארגז חול אוכל להתקין ולהשתמש. בגלל שחיפשתי את זה ומצאתי כמה ארגזי חול כמו אנוביס, מסלול חוטים. אבל שם אני יכול להגיש ולא יכול לראות מה קורה.
ובכן, עליכם להביס את טכניקות האנטי-אמולציה בתוכנה זדונית. פתרון של צד שלישי אינו מקובל מכיוון שאי אפשר להתעסק עם הפנימיות שלו. אני ממליץ לעשות זאת ביד או להשתמש בתוכנת קוד פתוח (תיבת הקוקיה עולה בראש כמו ZeroWine).
קישור נהדר, יש לך את הראשון שאליו מתייחס המחבר? `מאמר זה הוא צאצא ישיר של הקודם שלי ...`
http://www.openrce.org/articles/full_view/27
peter ferrie
2013-07-07 23:26:28 UTC
view on stackexchange narkive permalink

אין דרך קלה לחלץ את גוף הנגיף מנגיף פולימורפי, מכיוון שזה הטבע של תוכנות זדוניות פולימורפיות. התוכנות הזדוניות הפולימורפיות האחרונות מציגות, כפי שאתה רואה, גם טריקים נגד אמולטור ונגד ניפוי באגים.

אם אתה רוצה תוכנות זדוניות פולימורפיות "קלות יותר", נסה כמה מהוותיקים יותר, כמו Marburg, HPS, Magistr , צ'יטון ("EfishNC", אבל הבעיה היא למצוא את נקודת הכניסה), Bagif, Bounds (יש גם את בעיית הכניסה המסובכת - יש מאמר טוב על זה, זה מפענח לינארי אבל ההוראה הראשונה שאתה רואה היא לא ההוראה הראשונה של המפענח), ... ניתן לחקות אותם ללא בעיה. עם זאת, במקרה של מרבורג ו- HPS, המפענחים גדולים מאוד (ובמקרה של Bounds, מאוד גדולים).

David Hoelzer
2013-07-13 06:57:13 UTC
view on stackexchange narkive permalink

הייתי מהסס לקבוע בקטגוריה כי אינך יכול לקבל גופה של נגיף פולימורפי. זה באמת תלוי בתוכנה זדונית.

הנה גישה שתעבוד במקרים רבים בהם התוכנה הזדונית מוצפנת, ארוזה וכו '.

  1. קבל את התוכנה הזדונית ב- VM (או תיבה מבודדת אחרת).
  2. הפעל את התוכנה הזדונית.
  3. זרוק את זיכרון התהליך באמצעות כלי כמו תנודתיות או ProcDump ( http://technet.microsoft.com /en-us/sysinternals/dd996900.aspx)

יהיה עליך לבצע ניתוח כדי להבין במדויק היכן נקודת הזנת הקוד באותה זיכרון, אך ברגע שאתה שיהיה לך שיהיה לך הרבה יותר קל למשוך אותו למשהו כמו IDA מכיוון שסביר להניח שהתוכנה הזדונית כבר פענחה את עצמה.

כמובן, ישנן כמה טכניקות הכרוכות בפענוח בזמן / הצפנה בזמן תוכנות זדוניות פועלות, אך אלה יוצאות דופן יותר למצוא. עבור חלקים זדוניים אלה אין דרך קלה ומהירה לחלץ את הגוף המפענח אלא אם כן יש לך כבר את האלגוריתם והמפתח.

מקווה שזה יעזור!

מה אם אני מבצע ניפוי באגים בתוכנות זדוניות באופן ידני ב- OllyDbg / IDAPro. תוכנות זדוניות צריכות לפענח את עצמן בנקודת זמן מסוימת, נכון? ולהיווצר שם אני יכול לקחת את גופו. האם זה רעיון בר ביצוע?
כן ולא. זה למעשה קרוב למה שהתשובה שלי מציעה. הבעיה היא שכמות נכבדת של תוכנות זדוניות כוללת אנטי-רי מעבר להצפנה, כולל טכניקות לאיתור או לפחות להגיב לנוכחות של ניפוי באגים. המשמעות היא שלמרות שהרעיון שלך טוב, הוא לא יעבוד בכל המקרים מכיוון שהתוכנה הזדונית עשויה שלא לפענח את עצמה בהצלחה תחת ניפוי באגים. זו הסיבה שהשלכת התהליך היא גישה אמינה יותר, אם כי קשה יותר לנתח את הבינארי.


שאלה ותשובה זו תורגמה אוטומטית מהשפה האנגלית.התוכן המקורי זמין ב- stackexchange, ואנו מודים לו על רישיון cc by-sa 3.0 עליו הוא מופץ.
Loading...