淺析捆綁木馬檢測技術(shù)

引言：為了逃避追捕，越來越多的木馬會將自身捆綁到合法的文件中，例如圖片、音樂、視頻、EXE等，然后經(jīng)過免殺和加殼處理，在用戶毫無察覺間侵入系統(tǒng)。那么，如何才能識破捆綁型木馬的偽裝，使其暴露在光天化日之下呢？本文將從不同的角度分析一下常用的檢測方法。

最直接的檢測方法

對付捆綁型木馬來說，最簡單的檢測方法莫過于借助于殺軟讓其顯露原形。因為捆綁型木馬看似一個文件，其實內(nèi)部捆綁有一個甚至更多個文件。而功能強(qiáng)大的殺軟可以將其拆解進(jìn)行查殺。例如當(dāng)下載了一個可疑程序后，使用最新版的金山毒霸進(jìn)行掃描后，殺軟提示已經(jīng)掃描了3個文件，但是只發(fā)現(xiàn)了一個威脅（如圖1）。而我們只是檢測了一個程序而已，明顯說明了該程序內(nèi)部捆綁有木馬文件，接下就需要讓殺軟將其清除。

當(dāng)然，在網(wǎng)上還有很多檢測捆綁型木馬的工具（例如MT捆綁克星等），可以讓嵌入的木馬露出原形。這里以反文件捆綁器為例進(jìn)行說明，在該工具的“請選取一個文件進(jìn)行分析”欄中點擊瀏覽按鈕，選擇需要分析的可疑程序（如圖2）。點擊“掃描文件”按鈕，經(jīng)過其分析后，會提示“該文件捆綁有2個未知程序”等警告信息，說明其內(nèi)部另有玄機(jī)。點擊“分解文件”按鈕，可以將其中捆綁的文件提取到指定的路徑中，便于您對其進(jìn)行深入研究。

圖1 殺軟掃描捆綁型文件

圖2 使用專用工具檢測捆綁型文件

此外，使用WinHex這款強(qiáng)大的資源編輯工具，同樣可以讓捆綁型木馬現(xiàn)形。在WinHex工具欄中點擊打開按鈕，導(dǎo)入可疑文件。之后點擊“Ctrl+F”鍵，在搜索窗口中輸入“This program”，點擊OK按鈕執(zhí)行搜索操作，如果搜索到多處符合條件的文本，就說明這是一個捆綁型文件。例如，在本例中就搜索到3處，說明其中捆綁有兩個可疑程序。即使宿主文件經(jīng)過了加殼處理，雖然可能逃過殺軟的監(jiān)控，但是也逃不過WinHex的法眼。

通用捆綁型木馬檢測技術(shù)

對于一般的捆綁型木馬，可以使用上述簡單方法進(jìn)行檢測。但是對于狡猾的捆綁型木馬來說，檢測起來就沒有那么容易了。例如，黑客可以使用Hammer Binder這款工具，對捆綁型木馬進(jìn)行深度加工處理。除了可以添加木馬程序，設(shè)定其釋放路徑，調(diào)整木馬文件的各項屬性，將其添加到注冊表啟動項等常規(guī)功能外，還提供了延遲運行，顯示消息框，自刪除，從預(yù)設(shè)網(wǎng)址下載文件，對注冊表進(jìn)行單個或者批量鍵值的刪除，添加，修改等操作，控制Windows服務(wù)項目，禁用任務(wù)管理器，關(guān)機(jī)注銷重啟系統(tǒng)，甚至可以清除主板CMOS數(shù)據(jù)等功能。黑客如果對其加以綜合運用，可以打造出功能強(qiáng)悍的捆綁型木馬。

對于這類捆綁型木馬，需要聯(lián)合使用各種安全工具，才能讓其徹底就范。例如，我們可以使用IceSword冰刃，下載者監(jiān)視器，WsockExpert，注冊表監(jiān)視器等工具，來檢測經(jīng)過精心偽裝的捆綁型木馬。這些軟件和與之功能類似的檢測軟件，在網(wǎng)上可以很輕松的找到。在實施檢測之前，最好切斷網(wǎng)絡(luò)連接，這樣可以防止可疑程序從網(wǎng)上下載更多的木馬來攻擊系統(tǒng)。首先運行下載者監(jiān)視器，在其主窗口中點擊“開始監(jiān)控”按鈕，程序提示啟動監(jiān)視成功（如圖3）。之后只要有程序試圖從網(wǎng)上下載文件，就會徹底暴露在我們的面前。隨后啟動注冊表監(jiān)視器，該程序一旦啟動，會立即對注冊表進(jìn)行全面監(jiān)控。

圖3 啟動下載者監(jiān)控器

圖4 使用WsockExpert分析網(wǎng)絡(luò)包

之后運行可疑程序，下載者監(jiān)視器立即彈出攔截窗口，在“時間”欄中顯示攔截的時間，在“路徑”欄中顯示可疑程序的位置，在“下載”欄中顯示其想要下載的文件網(wǎng)址，在“保存”欄中顯示其下載后文件的存放路徑。據(jù)此，我們就斷定該可疑程序一定是從網(wǎng)上尋找?guī)蛢戳恕｜c擊“否”按鈕，禁止其從網(wǎng)上下載文件。當(dāng)然，我們已經(jīng)做了斷網(wǎng)處理，并不懼怕其下載操作。緊接著注冊表監(jiān)視器在屏幕右下角連續(xù)彈出警告面板，提示有可疑程序向注冊表的相關(guān)路徑（例如啟動項等）非法添加信息，說明捆綁在其中的木馬程序已經(jīng)悄然行動了。此外，該程序還試圖打開一些來歷不明的網(wǎng)頁，說明在捆綁型木馬中肯定被寫入了某些特定的網(wǎng)址，一旦程序運行就會在后臺偷偷打開預(yù)設(shè)的網(wǎng)址，執(zhí)行這些網(wǎng)址中藏匿著的更多不法程序。那么，該如何讓這些網(wǎng)址徹底曝光呢？這就需要使用WsockExpert這款網(wǎng)絡(luò)分析軟件了。

在WsockExpert主界面工具欄中點擊打開按鈕，在彈出窗口中顯示當(dāng)前運行的所有進(jìn)程信息，選擇需要監(jiān)控的程序，之后WsockExpert就可以開始對其網(wǎng)絡(luò)傳輸信息進(jìn)行抓包分析。在分析列表中選擇具體的網(wǎng)絡(luò)包，在窗口底部就會顯示其訪問的具體網(wǎng)址信息（如圖4）。根據(jù)這些信息，就很容易搞明白這些見不得人的網(wǎng)址了。如果在此時運行某些專業(yè)的網(wǎng)絡(luò)連接分析工具，就可以清晰的看到可疑程序試圖連接的遠(yuǎn)程主機(jī)IP了。例如運行360網(wǎng)絡(luò)連接查看器，就可以很輕松的查看到這些信息了。根據(jù)以上分析，知道了可疑程序有釋放文件，連接可疑IP，修改注冊表信息，試圖下載非法程序等不軌行為，就可以肯定這是捆綁型木馬了。接下來使用IceSword將這些木馬全部清除掉，并恢復(fù)注冊表（最好事前備份了注冊表），即可消除其影響了。當(dāng)然，為了安全起見，上述監(jiān)測行為最好在虛擬機(jī)中進(jìn)行。其大致順序為先在虛擬機(jī)使用各種工具對可疑文件進(jìn)行檢測，檢測其是否捆綁有可疑程序，之后開啟文件和注冊表監(jiān)控程序，同時對可疑程序進(jìn)行抓包分析，檢查其是否建立了非法網(wǎng)絡(luò)連接，查看遠(yuǎn)程IP信息等行為。

對付隱匿型捆綁文件的方法

對于一般的捆綁型木馬來說，無非是使用各種捆綁工具，將木馬（多半是免殺型）和正常的文件捆綁在一起，以看似正常文件的手段來迷惑用戶。但是，對于有些更加狡詐的捆綁型木馬來說，會采用更加隱蔽的方式進(jìn)行偽裝。例如，黑客可能會使用RobinPE等工具，將木馬程序插入到正常的EXE文件中，而且被嵌入的EXE程序文件大小不會改變，這種捆綁技術(shù)會讓人防不勝防。一旦用戶運行了這類EXE程序，隱匿在其中的木馬就會悄然出擊，在后臺非法活動。

此類隱匿性木馬的原理并不復(fù)雜，EXE文件（也就是PE文件）由于對齊的需要，其內(nèi)部并非全部都是正常數(shù)據(jù)。實際上，在PE文件區(qū)塊間存在一定的間隙，由此在文件內(nèi)部會產(chǎn)生大段的00數(shù)據(jù)，隱匿型捆綁術(shù)就是講木馬插入到這些間隙中，即寫入到這些00區(qū)域數(shù)據(jù)中。因為木馬植入到PE文件的間隙而沒有增加新的區(qū)塊，所以EXE文件的大小并沒有變化。當(dāng)然，由于正常EXE文件的區(qū)塊間隙比較小，可以插入的木馬體積往往也很小。例如，黑客可以先設(shè)計一個小巧的木馬，當(dāng)其運行后，會從指定的非法網(wǎng)址下載功能更強(qiáng)的木馬。之后使用RobinPE等工具將該木馬插入到某個正常EXE（例如記事本等）內(nèi)部，但是宿主EXE文件體積未變。為了逃避查殺，黑客會給該EXE未見進(jìn)行加殼處理。這樣，不管是使用殺軟，還是使用反捆綁軟件，均無法發(fā)現(xiàn)藏匿在該EXE文件的貓膩。當(dāng)用戶運行了該EXE文件后，潛伏在其內(nèi)部的木馬就會被釋放出來，并從預(yù)定網(wǎng)站下載更大的木馬，執(zhí)行更深層次的滲透破壞。

當(dāng)然，正常的EXE文件中的區(qū)塊間隙空間畢竟有限，無法容納體積更大的木馬。黑客為了解決這一問題，會采用增加區(qū)塊的辦法，來實現(xiàn)上述目的，其手法在EXE文件中增加一個塊頭，然后增加塊頭指向的數(shù)據(jù)段，然后調(diào)整文件映像尺寸大小。當(dāng)然，黑客還可以使用Zeroadd，TOPO，LoadPE等工具，來簡單快速的為EXE文件增加區(qū)塊。因為區(qū)塊增加了，黑客就可以很輕松的在EXE文件中嵌入體積更大的木馬了。不過，這種宿主型EXE文件的體積會比原文件明顯增大，因此識別起來要容易一些。那么，如何防御這類隱匿性捆綁木馬呢？最直接的辦法就是不要接收別人發(fā)來的來歷不明的程序，或者不要到不熟悉的網(wǎng)站下載軟件。當(dāng)然，如果知道正常程序的MD5校驗值的話，識別起來就輕松多了。只需計算目標(biāo)EXE程序的MD5校驗值，然后和標(biāo)準(zhǔn)的校驗值比較，就可以立即區(qū)分真假了。否則的話，就需要使用FileMon，RegShot等監(jiān)視工具，在目標(biāo)程序運行前后為系統(tǒng)拍攝快照，之后分析比較前后快照，發(fā)現(xiàn)系統(tǒng)的變動情況，就可以搞清楚該程序?qū)ο到y(tǒng)所做的修改操作，進(jìn)而判斷其好壞真假了。

當(dāng)然，對于此類隱匿性捆綁式木馬來說，也可以使用一些專用工具進(jìn)行檢測。例如使用Bound File Detector這款小工具，就可以輕松發(fā)現(xiàn)宿主EXE文件中是否藏匿了非法數(shù)據(jù)。在Bound File Detector主界面（如圖5）中的“目標(biāo)程序”欄中點擊瀏覽按鈕，選擇需要檢測的EXE文件，點擊“分析文件”按鈕，經(jīng)過其分析后，如果在“結(jié)果”欄中顯示“XXX字節(jié)的額外數(shù)據(jù)被發(fā)現(xiàn)，數(shù)據(jù)位于偏移量XXXh”等字樣（XXX表示具體的數(shù)值），就表示其中可能藏匿有木馬等非法程序，點擊“清除數(shù)據(jù)”按鈕，就可以將其清除，達(dá)到凈化EXE文件的目的。

圖5 Bound File Detector檢測界面

提起PEiD這款小工具，想必大家都比較熟悉，該工具可以對目標(biāo)程序的各種屬性進(jìn)行深入檢測。利用該工具，同樣可以識別隱匿型捆綁文件。PEiD實際上是一個基于特征碼的探測程序外殼信息的檢測工具。利用其提供的自定義特征碼功能，可以有效檢測這類隱匿型捆綁文件。例如對于經(jīng)由RobinPE捆綁的木馬來說，需要在PEiD運行目錄下打開“userdb.txt”文件，在其中添加一些內(nèi)容：

之后保存該文件，在PEiD主界面中的“文件”欄中點擊瀏覽按鈕，選擇目標(biāo)EXE文件，之后點擊窗口右下角的“=》”按鈕，在彈出菜單中點擊“外部掃描”項，就可以使用自定義特征碼文件檢測目標(biāo)文件。在窗口底部的檢測框中如果出現(xiàn)“RobinPE v.new->Robin [debug]”字樣，就表明該EXE文件經(jīng)過了RobinPE的偽裝處理，里面捆綁有木馬程序。順便說一下，利用PEiD提供的目錄檢測功能，可以大大提高檢測效率。在PEiD主界面中點擊“多文件掃描”按鈕，在彈出窗口中點擊“掃描目錄”按鈕，選擇特定目錄（例如選擇系統(tǒng)文件夾），之后執(zhí)行掃描動作，我們知道，在系統(tǒng)目錄下的正常文件都是沒有加殼的。如果發(fā)現(xiàn)有加殼的程序，那其很有可能就是木馬等惡意程序。而系統(tǒng)目錄恰恰是木馬病毒等惡意程序喜歡藏身的地方，利用PEiD的批量掃描功能，可以讓這些不法之徒現(xiàn)出原形。