5.4 搞定反调试机制

现在的病毒是越来越狡猾了,无论是在感染,传播还是在反分析方面。一方面,将代码打包或者加密代码使代码模糊化,另一个方面使用反调试机制,郁闷调试者。接下来我们将 了解常用反调试机制,并用 Immunity 调试器和 Python 创造自己的脚本绕过反调试机制。

5.4.1 IsDebuggerPresent

现在最常用的反调试机制就是用 IsDebuggerPresent(由 kernel32.导出)。函数不需要参 数,如果发现有调试器附加到当前进程,就返回 1,否则返回 0.如果我们反汇编这个函数:

7C813093 >/$ 64:A1 18000000 MOV EAX,DWORD PTR FS:[18]
7C813099  |. 8B40 30  MOV EAX,DWORD PTR DS:[EAX+30] 
7C81309C  |. 0FB640 02  MOVZX EAX,BYTE PTR DS:[EAX+2] 
7C8130A0  \. C3  RETN

代码通过不断的寻址找到能证明进程被调试的数据位,第一行,通过 FS 寄存器的第 0x18 位找到 TIB(线程信息块)的地址。第二行通过 TIB 的第 0x30 位找到 PEB(进程环境信息块) 的地址。第三行将 PEB 的 0x2 位置上的 BeingDebugged 变量存在 EAX 寄存器中,如果有调 试器附加到进程,该值为 0x1。Damian Gomez 提供了一个简单的方式绕过 IsDebuggerPresent, 可以很方便的在 Immunity 执行,或者在 PyCommand 中调用。

imm.writeMemory( imm.getPEBaddress() + 0x2, "\x00" )

上面的代码将 PEB 的 BeingDebugged 标志就当的设置成0.现在病毒无法使用 IsDebuggerPresent 来判断了调试器了,它傻了。

5.4.2 解决进程枚举

病毒会测试枚举所有运行的进程以确认是否有调试器在运行。举个例子,如果你正在用 Immunity 调试 一个病毒,就会注册一个名为 ImmunityDebugger.exe 的进程。病毒通过用 Process32First 查找第一个注册的进程,接着用 Process32Next 循环获取剩下的进程。这两个 函数调用会返回一个布尔值,告诉调用者函数是否执行成功。我们重要将函数的返回值(存 储在 EAX 寄存器中),就当的设置为 0 就能够欺骗那些调用者了。代码如下:

process32first = imm.getAddress("kernel32.Process32FirstW") 
process32next = imm.getAddress("kernel32.Process32NextW") 
function_list = [ process32first, process32next ]
patch_bytes = imm.Assemble( "SUB EAX, EAX\nRET" ) 
for address in function_list:
    opcode = imm.disasmForward( address, nlines = 10 ) 
    imm.writeMemory( opcode.address, patch_bytes )

首先获取两个函数的地址,将它们放到列表中。然后将一段补丁代码汇编成操作码,代 码将 EAX 设置成 0,然后返回。接下来反汇编 Process32First 和 Process32Next 函数第十行 的代码。这样做的目的就是一些高级的病毒会确认函数的头部是否被修改过。我们在第 10行再写入补丁,就能瞒天过海了。然后简单的将我们的补丁代码写入第 10 行,现在无论怎 么调用两个函数都会返回失败。

我们通过两个例子讲解了如何使用 Python 和 Immunity 调试器,使病毒无法发现我们。 越来越多的的反调试技术将在病毒中使用,对付他们的方法也不会完结。但是 Immunity 无 疑将会成为你对付病毒或者开发 exploit 的利器。

接下来看看在逆向工程中的 hooking 技术。