【黑客免杀攻防】读书笔记6 - PE文件知识在免杀中的应用

0x1 PE文件与免杀思路

基于PE文件结构知识的免杀技术主要用于对抗启发式扫描。
通过修改PE文件中的一些关键点来达到欺骗反病毒软件的目的。

修改区段名

1.1 移动PE文件头位置免杀

工具：PeClean

SizeOfOptionalHeader字段来描述扩展头的大小，恒定值为0xE0。
某些程序直接使用0xE0对PE文件进行处理，对于修改过的程序会被识别为非PE文件。

1.2 导入表移动免杀

通过修改程序里导入表ThunkValue值实现。

1）通过ThunkValue的偏移地址，找到API函数名
2）将原地址的API函数名移动到其他空白处
3）00填充掉原地址的API函数名
4）修改ThunkValue值为新移动的地址

1.3 导出表移动免杀

通过修改导入表中API函数名的相对偏移地址实现。

获取API函数名的RAV（相对虚拟地址）
将API函数名移动到新位置
将API函数名相对偏移地址填写回原先记录的地方

0x2 PE文件与反启发式扫描

其它非与PE文件相关的启发式扫描请参考第16章“免杀技术前沿”内容。

2.1 最后一个区段为代码段

启发特征：最后一个区段为代码段。这会引发“异常的入口点”。如果入口点被定位在了非正常的代码段上，则会被启发式扫描引擎查杀。

2.2 可疑的区段头部属性

蠕虫在感染一个文件时有三种方案，这些方案都要求会修改代码段具有可写属性。

1 增加一个新的可执行区段
2 现有的代码段中插入恶意代码
3 将恶意代码分别穿插到不同的区段中，并修改相应区段的属性

启发特征：一个正常的可执行程序如果出现多个具有可执行属性的区段，就会制造出这些特征。

2.3 可疑的PE选项头的有效尺寸值

启发特征：这一项启发特征是基于 “移动PE文件头免杀”建立起来的。用于试图修改选项头大小而隐藏更多敏感数据的恶意程序。

2.4 可疑的代码节名称

启发特征：如果产生了编译器厂商之外的区段名，则启发特征判定为恶意程序。

2.5 多个PE头部

启发特征：可执行文件中含有需要释放的DLL或者SYS。

注：一般情况下将其中包含的可执行文件加密即可避免出现这个特征。

2.6 导入表项存在可疑导入

启发特征：

无效导入表
偏移形式调用API
特定恶意行为的API序列

注：黑客一般会使用自己实现的GetProcAddresss函数，以便用散列值寻找并调用相关敏感API

0x3 隐藏导入表

隐藏导入表思路

简单异或加密
导入表单项移除
重构导入表
利用HOOK方式打乱其调用

3.1 操作原理与先决条件

原理：

1）手工将指定导入项的IAT(Import Address Table)删除掉
2）在启动初期用正确的值填充IAT

条件限制：

OriginalFirstThunk字段是一个以0x00000000结尾的32位数组，将INT填充为0x00000000删掉后，
会导致在此IAT项后面所有由此DLL导入的函数失效。

3.2 修改PE文件

简单的例子

3.3 构造我们的反汇编代码

没看懂RegisterClassExW的起始地址是怎么得到的。

0x4 小结

PE免杀入门技巧
对PE免杀入门技巧的启发式扫描规则
反启发式扫描PE免杀技巧

0x5 参考文章

《黑客免杀攻防》第八章 PE文件知识在免杀中的应用
http://blog.csdn.net/dalerkd/article/details/41144251

转载于:https://www.cnblogs.com/17bdw/p/7377097.html