恶意代码机理与防护笔记

病毒

行为

欺骗
隐蔽
自启动
自我复制
自我删除
传播
感染

与反病毒的简单较量

显示与隐藏拓展名
U盘传播

进程与线程

进程是一个具有独立功能的程序关于某个数据集合的一次运行活动，是程序的一次动态执行，它可以申请和拥有系统资源。把进程看成一个容器，程序运行时，首先将程序代码装入容器，然后可继续加入程序执行所需要的变量数据等。

线程是进程中的一个实体，是CPU调度和分派的基本单位，一个进程可以有多个独立运行的线程。进程为线程提供生存空间和所需资源，线程执行任务。

程序一次执行结束，则进程退出，进程产生的所有线程也都被强制退出并清除。

动态链接库（DLL-Dynamic Link Library）

DLL是作为*共享函数库的可执行文件（*PE格式），但它不能独立运行，只能通过其他可运行的程序加载到内存中执行功能。

共享函数库：DLL是一个包含可供多个程序同时使用的代码和数据的库。DLL提供了一种方法，使进程可以调用不属于其可执行代码的函数。

磁盘

结构

磁头

硬盘由很多盘片组成，每个盘片的每个面都有一个读写磁头。如果有N个盘片。就有2N个面，对应2N个磁头(Heads)，从0、1、2开始编号。

柱面

每个盘片被划分成若干个同心圆磁道(逻辑上的，是不可见的)每个盘片的划分规则通常是一样的。这样每个盘片的半径均为固定值R的同心圆再逻辑上形成了一个以电机主轴为轴的柱面(Cylinders)，从外至里编号为0、1、2……

扇区

每个盘片上的每个磁道又被划分为几十个扇区(Sector)，通常的容量是512byte，并按照一定规则编号为1、2、3……

磁头数(Heads) 最大为 255 (0-255，用 8 个二进制存储)
柱面数(Cylinders) 最大为 1023（0-1023，用 10 个二进制存储)
扇区数(Sectors) 最大为 63(1-63，用 6个二进制位存储)
每个扇区一般是 512个字节

MBR分区结构

001

硬盘的第一个扇区（0面0磁道1扇区），这个扇区在硬盘分区的时候产生，用FDISK/MBR可重建标准的主引导记录程序。
主引导扇区（Boot Sector）组成：

主引导记录MBR（Main Boot Record）
硬盘主分区表DPT（Disk Partition Table）
引导扇区标记

在总共512byte的主引导记录中，MBR的引导程序占了其中的前446个字节(偏移0H~偏移1BDH)
随后的64个字节(偏移1BEH~偏移1FDH)为DPT(Disk Partition Table，硬盘分区表)
最后的两个字节“55 AA”(偏移1FEH~偏移1FFH)是分区有效结束标志。

DPT

DPT分区项各字段含义

字节位移	字段长度	值	字段名和定义
0x01BE	BYTE	0x80	引导指示符(Boot Indicator)指明该分区是否是活动分区。
0x01BF	BYTE	0x01	开始磁头(Starting Head)
0x01C0	6位	0x01	开始扇区(Starting Sector)只用了0~5位。后面的两位(第6位和第7位)被开始柱面字段所使用
0x01C1	10位	0x00	开始柱面(Starting Cylinder) 除了开始扇区字段的最后两位外，还使用了1位来组成该柱面值。开始柱面是一个10位数，最大值为1023
0x01C2	BYTE	0x07	系统ID(System ID)定义了分区的类型
0x01C3	BYTE	0xFE	结束磁头(Ending Head)
0x01C4	6位	0xFF	结束扇区(Ending Sector) 只使用了0~5位。最后两位(第6、7位)被结束柱面字段所使用
0x01C5	10位	0x7B	结束柱面(Ending Cylinder)除了结束扇区字段最后的两位外，还使用了1位，以组成该柱面值。结束柱面是一个10位的数，最大值为1023
0x01C6	DWORD	0x0000003F	相对扇区数(Relative Sectors) 从该磁盘的开始到该分区的开始的位移量，以扇区来计算
0x01CA	DWORD	0x00DAA83D	总扇区数(Total Sectors) 该分区中的扇区总数*

GPT分区

传统BIOS引导

开机
BIOS初始化
POST自检
MBR
DBR（分区引导扇区）
BOOTMGR（Boot Manager）
读取BCD(或boot.ini)
启动系统

UEFI BIOS引导过程

开机
BIOS初始化
启动管理器
读取BCD
启动相应的系统

引导型病毒

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-rm93s8R2-1684891837957)(C:\Users\WenTe\AppData\Roaming\Typora\typora-user-images\image-20230523194211787.png)]

引导型病毒也是先于操作系统的。
如果被感染的磁盘作为系统启动盘使用，在启动系统时，病毒程序即被自动装入内存，从而使现行系统感染上病毒。
引导型病毒依托的环境是BIOS中断服务程序。

PE文件

PE （Portable Executable）：可移植的执行体

文件结构

入口点

PE文件执行时的入口点，也就是程序在执行的第一条语句

文件偏移地址（File Offset）

PE文件储存在磁盘上的时候，各数据的地址称为文件的偏移地址

从第一个字节开始计数，起始值为0

基地址

文件执行时候被映射到指定的内存地址中，这个初始内存地址称为基地址。

默认设置，用Visual C++建立的EXE文件基地址是0040 0000H，DDL文件的基地址为1000，0000H。

虚拟地址（VA）

由于Windows程序运行在保护模式下，所以应用程序访问存储器所使用的逻辑地址称为虚拟地址（因为他不是真正的物理地址，真正的物理地址被windows的保护机制保护起来了）

相对虚拟地址（RVA）

是相对于可执行文件映射到内存的基地址的偏移量

如：可执行文件映射到内存的基地址：0x40,0000H， RVA=0x1000H，则虚拟地址VA=0x40,1000H

PE文件结构图

常见的区块名字

.text 是在编译或汇编结束时产生的一种块,它的内容全是指令代码。
.idata 导入表，包含其它外来DLL的函数及数据信息
.data是初始化的数据块
.rsrc 包含模块的全部资源：如图标、菜单、位图等

文件结构详解

MS-DOS

PE头

PE文件头（PE Header）是PE相关结构NT映像头（IMAGE_NT_HEADER）的简称，里边包含着很多PE装载器用到的重要字段。

拓展PE头

typedef struct _IMAGE_OPTIONAL_HEADER {//// Standard fields.//WORD    Magic;BYTE    MajorLinkerVersion;BYTE    MinorLinkerVersion;DWORD   SizeOfCode;DWORD   SizeOfInitializedData;DWORD   SizeOfUninitializedData;DWORD   AddressOfEntryPoint;DWORD   BaseOfCode;DWORD   BaseOfData;//// NT additional fields.//DWORD   ImageBase;DWORD   SectionAlignment;//<--- 内存对齐DWORD   FileAlignment;                             //<--- 文件对齐WORD    MajorOperatingSystemVersion;WORD    MinorOperatingSystemVersion;WORD    MajorImageVersion;WORD    MinorImageVersion;WORD    MajorSubsystemVersion;WORD    MinorSubsystemVersion;DWORD   Win32VersionValue;DWORD   SizeOfImage;DWORD   SizeOfHeaders;                             //<--- 决定块的起始位置DWORD   CheckSum;WORD    Subsystem;WORD    DllCharacteristics;DWORD   SizeOfStackReserve;DWORD   SizeOfStackCommit;DWORD   SizeOfHeapReserve;DWORD   SizeOfHeapCommit;DWORD   LoaderFlags;DWORD   NumberOfRvaAndSizes;IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES];
} IMAGE_OPTIONAL_HEADER32, *PIMAGE_OPTIONAL_HEADER32;

AddressOfEntryPoint
指出文件被执行时的入口地址，这是一个相对虚拟地址（RVA）。如果在一个可执行文件上附加了一段代码并想让这段代码首先被执行，那么只需要将这个入口地址指向附加的代码就可以了。

ImageBase：基地址，指出文件的优先装入地址。
SectionAlignment ：指定了节被装入内存后的对齐单位。即每个节被装入的地址必定是本字段指定数值的整数倍。
FileAlignment：指定了节存储在磁盘文件中时的对齐单位。

文件对齐

讲到文件对齐就涉及到扩展PE头中的另一个成员：FileAlignment（DWORD类型占4个字节）

文件对齐就是要求SizeOfHeaders必须为FileAlignment的整数倍

节表（区块表，块表）

PE文件中所有节的属性都被定义在节表中，节表由一系列的IMAGE_SECTION_HEADER结构排列而成，每个结构用来描述一个节，结构的排列顺序和它们描述的节在文件中的排列顺序是一致的。全部有效结构的最后以一个空的IMAGE_SECTION_HEADER结构作为结束

节表总是被存放在紧接在PE文件头的地方。

另外，节表中 IMAGE_SECTION_HEADER 结构的总数总是由PE文件头 IMAGE_NT_HEADERS 结构中的 FileHeader.NumberOfSections 字段来指定的。

所以节表中总的IMAGE_SECTION_HEADER结构数量等于节的数量加一

块表在c的定义

#define IMAGE_SIZEOF_SHORT_NAME              8
typedef struct _IMAGE_SECTION_HEADER {BYTE    Name[IMAGE_SIZEOF_SHORT_NAME];union {DWORD   PhysicalAddress;DWORD   VirtualSize;} Misc;DWORD   VirtualAddress;DWORD   SizeOfRawData;                        //<--- 块的大小DWORD   PointerToRawData;                //<--- 块在磁盘文件中的偏移DWORD   PointerToRelocations;DWORD   PointerToLinenumbers;WORD    NumberOfRelocations;WORD    NumberOfLinenumbers;DWORD   Characteristics;
} IMAGE_SECTION_HEADER, *PIMAGE_SECTION_HEADER;

Name：区块名。

这是一个由8位的ASCII 码名，用来定义区块的名称。多数区块名都习惯性以一个“.”作为开头。

当我们要从PE 文件中读取需要的区块时候，不能以区块的名称作为定位的标准和依据，正确的方法是按照 IMAGE_OPTIONAL_HEADER32 结构中的数据目录字段结合进行定位。

**Virtual Size：**该表对应的区块的大小，可以是区块的数据在没有进行对齐处理前的实际大小，也可以是对齐后的大小

**Virtual Address：**该区块装载到内存中的RVA 地址。这个地址是按照内存页来对齐的，因此它的数值总是 SectionAlignment 的值的整数倍。

SizeOfRawData：该区块在磁盘中所占的大小，可以是被FileAlignment 对齐过的长度，也可以是对齐处理前的实际大小。

PointerToRawData：该区块在磁盘中的偏移。这个数值是从文件头开始算起的偏移量。

Characteristics：该区块的属性。该字段是按位来指出区块的属性（如代码/数据/可读/可写等）的标志

小总结

在非运行态下：

DOS部首和PE文件头及块表连续存储，中间没有空隙
而块表和块之间由于文件对齐可能会存在空隙
块和块之间也由于文件对齐可能会存在空隙

相同点

无论是在运行态还是在非运行态，DOS部首、PE文件头、块表块表均为连续存储，中间没有空隙

第一个块表的首地址都受DOS部首大小+PE文件头大小+块表大小影响，都需要对齐

块和块之间也都需要对齐

不同点

运行态和非运行态的起始地址不同

在非运行态中，块表和块之间的空隙由文件对齐产生，块和块之间的空隙由文件对齐产生

在运行态中，块表和块之间的空隙由内存对齐产生，块和块之间的空隙由内存对齐产生

非运行态和运行态映射图

PE装载器的工作

①读取IMAGE_FILE_HEADER的NumberOfSections域，知道文件的节数目

② SizeOfHeaders域值作为节表的文件偏移量，并以此定位节表

③ 遍历整个结构数组检查各成员值

⑤ 将VirtualAddress域值加上ImageBase域值等于节起始的虚拟地址，然后就准备将节映射进内存，并根据Characteristics域值设置属性

⑥ 遍历整个数组，直至所有节都已处理完毕。

文件感染

EPO技术（Entry Point Obscuring ）-未修改入口点

Ø病毒没有改变宿主文件中的入口地址，而是在宿主文件的中部记录跳转到病毒本身的指令。

Ø 当运行宿主文件后，病毒没有立即得到控制权，而是当宿主例程调用包含病毒跳转指令时才获得系统的控制权。

Ø 可以一定程度上逃避虚拟机检测。

添加新节感染（修改入口点）

空间隙感染（修改入口点）

插入感染（未修改入口点）

捆绑式感染

重定位

病毒感染HOST程序后，由于它依附到HOST程序中的位置各不相同，因此病毒随着HOST载入内存后，它的各个变量（常量）在内存中的位置会随着HOST程序的位置而发生变化，因此病毒程序要能正常使用变量，必须用重定位技术。

获取API函数

系统中绝大部分API函数都集中在3个动态链接库Kernel 32.dll，User32.dll，Gdi32.dll中，所以一般病毒使用的所有API函数地址都可以从相关的DLL中获得。

Kernel 32.dll：32位动态链接库文件，属于内核级文件。
它控制着系统的内存管理、数据的输入输出操作和中断处理，当Windows启动时，Kernel32.dll就驻留在内存中特定的写保护区域，使别的程序无法占用这个内存区域。

User32.dll：是Windows用户界面相关应用程序接口，如创建窗口和发送消息。

Gdi32.dll：是Windows GDI图形用户界面相关程序，包含的函数用来绘制图像和显示文字。

LoadLibraryA：可以加载一个DLL库，如果成功，则返回该模块的句柄。
GetProcAddress：从加载的DLL库中搜索指定的API函数的地址。
一旦得到了Kernel 32.dll的句柄，也就可以达到使用任意动态库中的任意API函数的目的。

获取API函数地址的步骤：

1.首先获得Kernel32.dll的模块加载基地址

方法1：利用程序的返回地址，在其附近搜索Kernel32模块基地址。
方法2：通过SEH链获得Kernel32.dll模块基地址
方法3：通过PEB获取Kernel32.dll模块基地址

2.然后通过Kernel32.dll定位具体函数的地址

通过导出表查找
通过函数GetProcAddress、LoadLibraryA查找

搜索目标文件

使用FindFile函数查找指定路径；
对当前路径使用FindNextFile函数获得下一个文件句柄；
通过IsDirectory函数判断文件是否为目录，如果是目录，则用GetFilePath得到文件路径再递归调用查找函数；如果不是目录就用Find(“.exe”)函数判断文件的后缀名是否为.exe。

返回HOST

宏病毒

VBA（ Visual Basic for Applications），意思是开发环境被整合到了某个应用程序的 Visual Basic 语言。可以认为VBA是Visual Basic的子集.

原理

如何获得控制权

（1）用户对当前文档执行有些操作时，Word会查找指定的“内建宏”，例如：

打开文件之前首先查找“FileOpen”宏；
关闭文件之前查找“FileClose”宏；
打印文件之前首先查找“FilePrint”宏
改名存文件之前首先查找“FileSaveAS”宏

（2）全局宏—“Auto”开始的宏

自我保护

① 禁止可能引起用户警觉的提示信息（减少异常）
② 设置工程口令，设置查看障碍（封锁入口）
③ 屏蔽命令菜单，不允许查看宏（封锁入口）
④ 编码混淆（让你看不懂）
⑤ 隐藏关键宏代码等（让你找不到）

部门脚本解释

代码	措施
On Error Resume Next	如果发生错误，不弹出错误对话框
Application.DisplayStatusBar = False	不显示状态栏，避免显示宏的运行状态
Options.SaveNormalPrompt = False	修改公用模板时在后台自动保存，不给任何提示
EnableCancelKey = wdCancelDisabled	使不可以通过ESC键取消正在执行的宏
Application.ScreenUpdating = 0	不让屏幕更新，让病毒执行时不影响计算机速度
Application.DisplayAlerts = wdAlertsNone	不让Excel弹出报警信息
CommandBars(“Tools”).Controls(“Macro”).Enabled = 0	屏蔽工具菜单中的“宏”按钮
CommandBars(“Macro”).Controls(“Security”).Enabled = 0	屏蔽宏菜单的“安全性”
CommandBars(“Macro”).Controls(“Macros”).Enabled = 0	屏蔽宏菜单的“宏”
CommandBars(“Tools”).Controls(“Customize”).Enabled = 0	屏蔽工具菜单的“自定义”
CommandBars(“View”).Controls(“Toolbars”).Enabled = 0	屏蔽视图宏菜单的“工具栏”
CommandBars(“format”).Controls(“Object”).Enabled = 0	屏蔽格式菜单的“对象”

传播

病毒宏的传染通常是Word在打开一个带宏病毒的文档或模板时，激活了病毒宏，病毒宏将自身复制至Word的通用（Normal）模板中，以后每次Word进行打开、新建等操作时，就可能会调用病毒代码，并且将病毒代码写到刚才打开或新建的文件中，以达到传播的目的。

对抗

文档工程被加密无法进入宏代码编辑器怎么办？

VBA_Password_Bypasser
AOPR（Advanced Office Password Recovery）

在不打开文档的情况下如何查看宏代码？

oledump.py ：可以使用命令提取文档中的宏代码。

编码混淆之后看不懂，怎么办？

解码工具(scrdec.exe等)
动态调试

模板被感染且无法进入宏编辑器，怎么办？删除原始模板文件，Office将自动生成新模板

文档“宏查看”相关操作的宏被接管，无法进入宏代码编辑器，怎么办？

先打开非感染文档进入宏代码编辑器，然后打开目标文档切换。

脚本病毒

脚本语言（ Scripting language）是一种解释型的语言，一般内嵌在其他语言或者程序中，由解释器逐行解释执行；
脚本语言由一些ASCII码组成，并可以用“记事本”等文本编辑器直接对其进行编写。

脚本语言对系统的控制能力相对其他大型编程语言来说要弱，但是也可以利用Windows系统的开放性，通过调用一些现成的Windows对象和组件直接对文件系统、注册表等进行控制。

wsh

WSH 共有 14 个内置对象，它们各自有着明确分工。

Wscript 确定 WSH 执行文件名（wscript.exe 还是cscript.exe）
WshNetwork 的主要作用是开放或关闭网络共享，连接或断开网络打印机，映射或取消网络中的共享，获取当前登陆用户的信息；
WshShell 主要负责程序的本地运行，处理注册表项、创建快捷方式、获取系统文件夹信息，处理环境变量；

VBS

Visual Basic Script的简称。
微软环境下的轻量级解释型语言，是ASP（Active Server Page）默认脚本语言，也可在客户端作为独立程序（.vbs, .vbe）运行
可以高效地管理远程和本地计算机，如：

读取及修改环境变量
管理注册表、文件系统
管理服务、进程、系统账户
进行网络交互（文件上传下载、邮件发送等）

分析

如何获得控制权

修改注册表启动项

WSH.RegWrite(strName,anyValue[,strType])
通过映射文件执行方式

将exe文件的映射指向病毒代码。
欺骗用户，让用户自己执行：如双后缀名文件

如何搜索目标

如何感染

直接通过自我复制感染文件，病毒中的绝大部分代码都可以直接附加在其他同类程序的中间。

VBS脚本病毒对抗反病毒软件的技巧

自加密
巧妙运用Execute函数

改变某些对象的声明方法
直接关闭反病毒软件

恶意代码自我保护技术

反汇编算法

线性扫描

这个方法技术含量并不高，反汇编器只是依次将整个模块中的每一条指令都反汇编成汇编指令，没有对反汇编的内容进行任何判断，将遇到的机器码都作为代码来处理。因此无法正确的将代码和数据区分开，数据也将被当作代码来进行解码，从而导致反汇编出现错误

递归行进算法

该算法按照代码可能的执行顺序来反汇编程序，对每条可能的路径都进行扫描。当解码出分支指令后，反汇编器就将把这个地址记录下来，并分别反汇编各个分支中的指令，采用这种算法可以避免将代码中的数据作为指令来解码，比较灵活。

反静态分析技术

花指令（junk code）技术

为了达到迷惑破解者的目的，病毒作者会巧妙的构造代码和数据，在指令流中插入很多的“垃圾数
据”，干扰反汇编软件的判断，从而使它错误地确定指令的起始位置，这类代码数据称为“花指令”

加密技术

Ø 目的：对抗静态反汇编
Ø 病毒的简单加密是指对病毒的某些主体代码采用固定的密钥进行加密，这样静态反汇编出来的代码就是经过加密处理过的，因此在某些程度上可以起到保护病毒程序的目的。

多态技术

Ø 目的：对抗静态扫描特征码的杀毒软件
Ø 病毒的多态是指一个病毒的每个样本的代码都不相同，表现为多种状态。
Ø 采用多态技术的病毒由于病毒代码不固定，所以就很难提取出该病毒的特征码。

变形技术

病毒的变形是病毒加密的最高状态，它与多态技术不同的是每次加密的原始病毒代
码是变化

变形引擎一般可以使用如下方式生成病毒：
（1）随机插入废指令
（2）随机为相同的功能选择不同代码
（3）随机选择寄存器
（4）改变代码块顺序
从而生成功能相同但是代码截然不同的解密代码

指令位置变换模块

变换不影响执行效果的指令的前后位置。如：
Mov ebx, 23
Xor ecx,

寄存器变换模块

随机选取一些可以随意取代的中间寄存器，如:
mov reg, [123456]
mov [45678], reg
上述代码中的reg就可以在eax,ebx,ecx…等通用
寄存器之间进行随机选择，其不会影响执行的实
际效果

指令拓展模块

将一条指令替换为多条等价指令：
MOV EAX, EDX
PUSH EDX
POP EAX
POP EAX
MOV EAX, [ESP]
ADD ESP,

指令收缩模块

指令等价替换

将一条指令用另外一条等价指令替换
XOR EAX,EAX
SUB EAX, EAX
ADD EXX,1
INC EXX

无用指令随机插入模块

垃圾指令插入模块

加壳技术

为了保护软件不被非法修改或反编译，越来越多的软件都使用了加密的技术。壳是最早出现的一种专用加密软件技术。壳是指对PE文件具有压缩、加密、保护作用的程序

加上外壳后，原始程序代码在磁盘文件中一般是以加密后的形式存在的，只在执行时在内存中还原，这样就可以比较有效地防止破解者对程序文件的非法修改，同时也可以防止程序被静态反编译