電腦病毒分析詳解一例

2019-06-22 07:01:16唐文昊李孟軒阮鑒杰陳紅珍

視聽 2019年5期

關鍵詞：程序

唐文昊李孟軒阮鑒杰陳紅珍

（廣西廣播電視技術中心桂林分中心）

一、引言

在拷貝文件的過程中，病毒通過U盤的自動運行，在短時間內感染了全盤的程序。影響了單位遠程管理系統等一系列計算機軟件的正常運行，給安全播出帶來隱患。本著刨根究底的態度，筆者對染毒的程序樣本“OEM設備IP配置.exe”進行了一次常規且詳細的剖析。

二、分析準備

病毒分析需要在一個干凈且可以撤銷操作的環境中進行，虛擬機是很好的選擇。在分析前建立還原點，以避免調試過程中的誤操作使病毒生效，導致實驗環境被破壞，影響分析過程和結果。筆者使用的分析工具有：虛擬機Vmware、動態調試器ollydbg、PE工具PE Explorer。本文中的十六進制數均以匯編語言的格式表示，以H結尾，表示Hex。

三、染毒程序的分析

（一）PE結構

圖1 PE Explorer中顯示的PE頭部的部分信息

PE（Portable Executable）文件是Windows系統的程序文件，主要有可執行文件（exe）、動態鏈接庫（dll）和驅動程序（sys）三種。操作系統為了組織程序中的代碼和數據，定義了PE文件的區段結構。位于文件開頭的PE頭部可以得到整個程序的結構信息，給系統加載程序提供了依據。病毒感染程序的過程，是在不破壞PE結構的前提下，把自己附加到程序的新區段或者原代碼段的空閑區域（文件中區段未滿200H個字節時，剩下由0填充）。這里只需要關注PE頭部的部分數據，圖1是PE工具中顯示的信息。

圖1的PE頭部信息對應Windows平臺開發中winnt.h頭文件定義的數據結構IMAGE_FILE_HEADER和IMAGE_OPTIONAL_HEADER32的前一部分。重點關注倒數第四行的入口點地址61B00H，表示程序被加載后將從這個地址開始執行。需要注意的是，為閱讀方便，PE工具中顯示的值是VA（虛擬地址），而文件中實際存儲的值是RVA（相對虛擬地址），VA=RVA+映像基址。

圖2 PE Explorer中顯示的區段表

圖3 染毒程序的入口點代碼（感染代碼的開頭）

另一個重要的數據結構是區段表，包括了區段的位置信息。每一行代表一個區段，對應數據結構IMAGE_SECTION_HEADER。虛擬大小和虛擬地址指區段在內存中的位置。RAW數據大小和RAW數據入口指區段在文件中的位置。由此可以得到區段從磁盤文件映射到內存的對應關系。內存以頁面（0x1000字節）對齊，磁盤以扇區（0x200字節）對齊，表中的數值也是它們的倍數。特征值則可以區別此區段包含的是代碼或者數據，以及是否有讀、寫、執行等權限。

圖2顯示此程序共9個區段，圖1中的第二行也有標識（PE工具翻譯有誤，應為區段數）。常見區段有代碼段.text和數據段.data，以及導入表、導出表所在區段.idata和.edata。導入表非常重要，包含程序調用的系統函數或第三方動態鏈接庫導出函數的名字和地址，會直接暴露程序的底層實現。導出表則標識了本程序可對外公開的函數。導出函數一般被用于共享（提供給多個程序調用），會被編譯到dll文件，而exe文件很少會有導出函數。

圖4 搜尋系統函數地址的部分代碼

最后一個區段.rmnet是重點懷疑對象，這個名字不是鏈接器生成的默認區段名。實際上它就是病毒所在區段。正常的入口點會落在代碼段.text內，靠近開頭，一般是401xxxH，而染毒后的入口點卻位于最后這個區段。此段的特征值E0000020H標識了：代碼（第6位）、可執行（第30位）、可讀（第31位）、可寫（第32位）。代碼段可寫在正常情況下很少見，這意味著代碼可能被加密了，一般是加殼軟件或病毒才有具有的特征。

（二）感染代碼——搜索函數地址

用調試器打開染毒的程序“OEM設備IP配置.exe”，來到入口點代碼。