恶意软件解混淆与内存取证技术解析
恶意软件作者常使用混淆技术来隐藏数据和信息,以逃避安全分析。本文将介绍恶意软件手动和自动解包的方法,以及内存取证的相关技术,帮助安全人员更好地分析和应对恶意软件。
1. 手动解包恶意软件
手动解包一个被打包的二进制文件,通常需要执行以下步骤:
1.识别原始入口点(OEP):当一个打包的二进制文件被执行时,它会提取原始二进制文件,并在某个时刻将控制权转移到OEP。OEP是恶意软件在打包之前的第一条指令的地址。
2.执行程序直到到达OEP:让恶意软件存根在内存中自行解包,并在OEP处暂停(在执行恶意代码之前)。
3.将解包后的进程从内存转储到磁盘。
4.修复转储文件的导入地址表(IAT)。
1.1 识别OEP
以一个使用UPX打包器打包的恶意软件为例,我们可以通过以下方法识别OEP:
-使用pestudio检查:检查打包的二进制文件,发现它包含三个部分:UPX0、UPX1和.rsrc。入口点在UPX1部分,该部分包含解压缩存根,会在运行时解包原始可执行文件。
-分析UPX0部分:UPX0部分的原始大小为0,但虚拟大小为0x1f000,这表明它在磁盘上不占用空间,但在内存中占用0x1f000字节的空间。此外,UPX0部分具有读、写、执行权限,这意味着解包后的恶意代码可能会在该部分执行。
-使用
