我想解密多态恶意软件,并想要获取要感染的实际病毒体。我尝试在ollyDbg中解密virut.ce(这是一种多态恶意软件),但是它使用的是反调试和反仿真技术,因此很难找到病毒体。

我能够加密病毒的病毒主体。但是对于多态病毒,解密程序会变形,因此很难获得病毒体。

谁能建议我获得病毒体的更好方法。或者可以建议我可以在OllyDbg中调试的其他简单多态恶意软件。我的目标是从多态恶意软件中获取病毒体。

评论

如果您具有启用IVT的PC(当今大多数PC是),则可以安装Dether:通过带有Debia-lenny-5的硬件虚拟化扩展的恶意软件分析该网络还提供了拆包服务。据我所知,只有用于研究目的的病毒才能绕过Ether工具。我在研究工作中曾使用过此工具。很棒

您是否尝试过使用此工具,但大多数加密病毒都可以解密。我可以知道您的病毒来源是什么吗?

因为您的问题也与安全性相关,所以可以将其发布在IT-Security:tag:Malware

我正在从攻击性计算中提取多态病毒。我感染了virut.ce,Bolzano等病毒。现在,我正在尝试您提到的工具。但是正如您所说,只有出于研究目的而制造的病毒才能绕过以太坊,我不确定这些病毒是否会通过。在哪里可以看到用于研究目的或可以通过以太坊的病毒?

Ether是一个非常好的工具,它为您提供了主机中每个入口点的转储。是的,开始使用它有点困难,但是会偿还您的时间成本。通过绕过我的方法,某些病毒甚至可以检测到以太币并阻止自身解密。关于此的一些病毒Danny Quist的论文。 -我的数据集由(1)真实病毒组成:由公司授权的数据,我从Mark Stamp先生那里获得的某些病毒(2)我还对合成病毒进行了工具分析。业界人士对该工具了解较少

#1 楼

听起来像是一个有趣的挑战!

要获取恶意软件主体,我建议您使用IDA Pro而不是Olly(但这实际上是您自己的选择)。
无论如何,首先我建议使用沙箱来跟踪它的作用。了解恶意软件如何检测到这一点,并思考解决此检测机制的方法。阅读其他论文,研究多态甚至是变态代码如何工作。我一直很喜欢OpenRCE上的变态论文http://www.openrce.org/articles/full_view/29

到达那里

为了实现这一目标,我d建议为IDA编写很多拆包插件等。将恶意软件视为联合。首先分析第一层,构建一个插件以自动(静态)对它进行解压缩(再次是IDA),然后继续执行此操作,直到使整个过程逆转为止。删除(bytepatch)反调试技术,真正了解这东西是如何工作的。

基本坚硬的恶意软件是一个漫长而乏味的过程,无法自动化。分析它们真的很有趣。如果您想更快地进行分析,可以查看TitaniumCore或将示例提交给像攻击性计算这样的VirusExchange网站:)

祝您好运!

评论


感谢您的投入。您能建议我可以安装和使用哪个沙箱。因为我进行了搜索,发现了一些沙箱,例如Anubis,threattrack。但是我可以提交,看不到发生了什么。

–user1744108
13年7月9日在6:48

以及您需要击败恶意软件中的反仿真技术。第三方解决方案是不可接受的,因为您无法修改其内部。我建议您手动或使用开放源代码软件来完成此操作(布谷鸟盒就像ZeroWine一样)。

– Stolas
2013年7月9日在10:42



很棒的链接,您有作者提到的第一个或那个吗?本文是我上一篇文章的直接后代。

– 0x90
13年7月16日在15:51

openrce.org/articles/full_view/27

– Stolas
13年7月17日在6:37

#2 楼

没有一种简单的方法可以从多态病毒中提取病毒体,因为这是多态恶意软件的本质。如您所见,较新的多态恶意软件还带有反仿真器和反调试器的窍门。 Magistr,Chiton(“ EfishNC”,但问题是找到入口点),Bagif,Bounds(也有棘手的入口点问题-有一篇不错的文章,它是一个线性解密器,但是您看到的第一条指令是而不是解密器的第一条指令),...
它们可以被仿真而不会产生问题。但是,对于Marburg和HPS,解密器非常大(对于Bounds,解密器非常大)。

#3 楼

我会毫不犹豫地明确声明您无法获得多态性病毒的机体。它确实确实取决于恶意软件。

这种方法在许多情况下都适用,在这种情况下,对恶意软件进行加密,打包等。


获取恶意软件
使恶意软件运行。
使用诸如Volatility或ProcDump之类的工具转储进程内存(http://technet.microsoft.com/zh-cn/sysinternals /dd996900.aspx)

您将需要进行一些分析,以准确找出代码入口点在该内存转储中的位置,但是一旦有了它,您将可以更轻松地将其拉入某个内容之所以像IDA一样,是因为该恶意软件很可能已经对其自身进行了解密。

当然,有些技术在恶意软件运行时会涉及及时的解密/加密,但是这些技术很少见。对于这些恶意软件,除非您已经拥有算法和密钥,否则没有快速简便的方法来提取解密的正文。

希望这会有所帮助!

评论


如果我在OllyDbg / IDAPro中手动调试恶意软件该怎么办。恶意软件应该在某个时间点解密吗?并在那里形成,我可以抓住它的身体。这是可行的主意吗?

–user1744108
13年7月13日在5:42

是的,没有。这实际上与我的答案所暗示的差不多。问题在于,相当数量的恶意软件包括超出加密范围的反re-re,包括检测或至少对调试器的存在做出反应的技术。这意味着,尽管您的想法不错,但并非在所有情况下都可行,因为恶意软件可能无法在调试器下成功解密。这就是为什么转储过程是更可靠的方法的原因,尽管随后分析二进制文件更加困难。

– David Hoelzer
13年7月13日在11:14