QQ盗号木马之逆向分析

QQ盗号木马之逆向分析

　　电脑已经走进我们的生活，与我们的生活息息相关，感觉已经离不开电脑与网络，对于电脑安全防范，今天小编在这里给大家推荐一些电脑病毒与木马相关文章，欢迎大家围观参考，想了解更多，请继续关注学习啦。

　　一般来说，病毒分析不会涉及到算法问题，如果是要分析算法(如我之前对于CM4注册机制的分析)，那么我们更多地是需要关注程序的流程与逻辑，一般不深究CALL的具体内容。而病毒分析则往往需要搞清楚各个不同的CALL的意义，才能够弄清楚病毒的行为。所以本文的第一部分着重讲述对这些CALL的剖析。而第二部分则简单讨论一下进程守护技术的实现。

　　逆向分析

　　这里我们跳过程序的初始化部分，来到第一个API函数的位置：

　　我们能够直接看到的第一个API函数是GetModuleFileName，这个函数用于获取当前进程已加载模块的文件的完整路径，该模块必须由当前进程加载。而该函数的返回值则是文件路径长度，该返回值保存在了EAX中，为2B，也就是说路径长度为2B个字符。可以看一下所返回的路径是什么。路径保存在“PathBuffer”中，跟踪该地址查看：

　　可见程序已正确获取了当前文件的地址。然后继续分析下一个API函数：

　　这里出现了ShellExecute这个函数，它的功能是运行一个外部程序(或者是打开一个已注册的文件、打开一个目录、打印一个文件等等)，并对外部程序有一定的控制。具体到本程序，ShellExecute会运行Explorer.exe程序来打开“d:\”，其实也就是使用程序管理器打开D盘根目录。但是执行这个API函数是有条件的，它需要根据第二行CALL语句的结果进行判定，那么有必要进入这个CALL，看看需要满足什么条件才能够执行ShellExecute。

　　进入oso.00403C48这个函数

　　程序会对EAX和EDX中的内容进行比对，其中EAX保存的字符串就是我们之前使用GetModuleFileName所获取的当前文件的路径，只不过被转化成了大写字符。而EDX保存的是D盘根目录下的OSO.EXE这个文件路径。二者在这里很明显是不同的。所以黄色高亮显示的条件跳转语句也就不成立，程序会继续顺序执行：

　　这里需要说明的是，由于本病毒是由Delphi编写的，那么字符串首地址减去4后，取出的4字节内容便是此字符串的长度。因此的前两句代码意思就是获取两个路径的字符数，然后通过相减进行比较。这里很明显当前路径的字符数量是要大的，因此黄色高亮显示的条件跳转成立，来到oso.00403C6B的位置：

　　这里依旧是字符的比较，由于二者不相等，所以最后一句的条件跳转成立，来到oso.00403CD1的位置：

　　这里比较的是盘符，也是不相等的，所以条件跳转成立，本函数也就执行完毕了。综合上述分析，这段函数的功用是判断当前所执行的文件是不是位于D盘的根目录下，如果是，则执行中的ShellExecute这个函数，反之则跳过这个函数执行。由于我们的这个程序是位于桌面上的，因此不执行ShellExecute函数。

　　接下来程序还会继续判断当前程序是否位于E、F、G、H、I盘根目录下，如果不是，那么也就不执行相应的ShellExecute函数。

　　之后程序会调用名为oso.004050F0的函数，进入其内部分析：

　　可见病毒程序调用了GetSystemDirectory函数用于获取系统目录。一般来说，恶意程序使用这个函数的目的就是要将自身复制到系统目录中，以迷惑用户(详见《反病毒攻防研究第001篇：自我复制与自删除》)。之后病毒程序会将字符“severe.exe”与上面获得的系统目录字符串进行组合，新的路径也就是病毒程序需要隐藏的位置：

　　之后可以看到CreateFile函数：

　　但是这个CreateFile函数的执行是有条件的，它取决于第一行代码中的CALL的返回值。进入这个CALL进行分析，可以找到：

　　程序调用了FindFirstFile函数来查找系统目录中有没有severe.exe这个文件，如果没有(返回值为-1)则不执行的CreateFile函数。由此可见，CreateFile函数在这里的作用不是创建文件，而是打开文件。接下来就是文件的复制操作：

　　之后又是一系列的文件复制，病毒会将自身改名为tfidma.exe，并复制到系统目录中。还会将自身改名为conime.exe，复制到系统目录的drivers文件夹中。类似的操作不再赘述。之后程序就会再次调用ShellExecute函数，以执行所创建出来的这些程序。因此在“资源管理器”中就会出现severe.exe、conime.exe与tfidma.exe等进程。可以说在这个时候，我们的计算机就已经中病毒了。接下来我们会遇到线程的创建函数：

　　CreateThread函数往往与Sleep或者WaitForSingleObject函数相配合使用。因为每个线程都有自己的CPU时间片，当主线程创建了新线程后，它的CPU时间片有时并没有完，它还可以继续执行。有时候如果主线程的代码非常少，那么在CPU指定的CPU时间片中主线程执行完后就退出了。主线程结束，那么意味着程序也就结束了，所以在这种情况下，我们自己创建的线程根本就没有被执行到。所以我们需要让主线程等待我们创建的线程，就需要使用Sleep或者WaitForSingleObject函数。本程序所采用的就是Sleep函数(等待1.3秒)。

　　根据OD对CreateThread函数的解析可以知道，该线程所调用的是oso.00404958这个函数。分析这个函数可以知道，它主要是创建了名为“hx1.bat”的批处理文件并执行，而该批处理的内容为：

　　其主要作用就是修改系统时间，测试本地网络系统并删除自身。病毒的常规分析部分就是这些。

　　三、进程守护技术原理

　　进程的守护技术最早应该是源于“中国黑客病毒(worm.runouce)”，它开创性地采用了“三线程”结构。创建三线程就是为了更好地保护程序自身不被关闭和删除。我们可以将想要执行的代码放在主线程里，然后再生成两个辅助线程，它们的功能就是实现对程序的保护，防止程序被用户关闭或删除。在此，称我们的可执行文件的进程为主进程。两个辅助线程相互实时监视，如果监视对象被关闭了，就重新创建线程或进程。比如病毒程序可以选择Explorer.exe和Taskmgr.exe作为远程进程驻体。如果用户知道了远程线程的驻体为资源管理器后，就会打开任务管理器来结束Explorer，这时我们再把远程线程驻入到任务管理器中。也就是说，只要Explorer或Taskmgr有一个存在，就不可能结束主进程。如果有其它结束进程的工具，你就可以将其关闭掉，只要资源管理器和任务管理器均不存在时，就没有驻体来维持远程进程。不过，如果我们选择的远程进程为随机的，或者就是病毒自创的，这就不容易发现了。

　　这种三线程结构的程序框架大致如下(代码来自《浅析三线程程序开发思路与实现》)：

　　// 1.主线程：main // 获得操作系统的系统目录

　　GetSystemDirectory(syspath,MAX_PATH); // 查询系统目录下病毒是否存在

　　FindFirstFile(virusname,&fdata); // 如果系统目录下没有，在将正在运行的程序复制到系统目录下

　　CopyFile(curname,tname,TRUE); // 在查询完毕后，关闭相关句柄

　　FindClose(ffhandle); // 打开系统目录下的文件

　　CreateFile(kname,GENERIC_WRITE,FILE_SHARE_WRITE,NULL,OPEN_EXISTING,FILE_ATTRIBUTE_NORMAL,NULL); // 修改时间

　　SetFileTime(fchandle,&ftime,NULL,&ftime); // 设置属性

　　SetFileAttributes(kname,FILE_ATTRIBUTE_READONLY|FILE_ATTRIBUTE_HIDDEN|FILE_ATTRIBUTE_SYSTEM ); // 创建驻留在主进程内的辅助监视线程

　　CreateThread(NULL,0,watch,(LPVOID)rthread,0,NULL);

　　// 2.本地辅助监视线程：watch // 以查询方式打开注册表的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

　　RegOpenKeyEx(HKEY_LOCAL_MACHINE,rgspath,0,KEY_QUERY_VALUE,&hkey); // 查询是否存在virusname的键值

　　RegQueryValueEx(hkey,_T("virusname"),NULL,NULL,(LPBYTE)lpdata,&dwbuflen); // 如果没有相关键值，就以写方式再次打开注册表

　　RegOpenKeyEx(HKEY_LOCAL_MACHINE,rgspath,0,KEY_WRITE,&hkey); // 写入我们想要的东西，系统每次启动都会运行我们的可执行文件;

　　RegSetValueEx(hkey,_T("virusname"),NULL,type,(const byte *)wtname,dwbuflen); // 获得远程线程的运行情况，看是否为STILL_ACTIVE，如果不是则创建远程线程

　　GetExitCodeThread(wethread,&exitcode);

　　// 3.远程线程：remote // 以所有可能的访问方式打开主进程，以便监视主进程的运行情况

　　tOpenProcess(PROCESS_ALL_ACCESS,FALSE,erp->rpmousepid); // 等待直到主进程结束

　　tWaitForSingleObject(erp->rpprocesshandle,INFINITE); // 重新启动我们的可执行文件

　　tWinExec(erp->rpwinexecname, 0);

　　// 4.获得进程ID：processtopid // 列举所有的进程

　　EnumProcesses(lpidprocesses,sizeof(lpidprocesses),&cbneeded); // 以查询信息和读取的方式打开进程

　　OpenProcess(PROCESS_QUERY_INFORMATION | PROCESS_VM_READ,FALSE,lpidprocesses[i]); //获得进程模块的句柄

　　EnumProcessModules(hprocess,&hmodule,sizeof(hmodule),&cbneeded); // 获得特定模块的名字，以备比较

　　GetModuleBaseName(hprocess,hmodule,normalname,sizeof(normalname));

　　// 5.创建远程线程：createremote // PROCESS_CREATE_THREAD for CreateRemoteThread

　　// PROCESS_VM_OPERATION for VirtualAllocEx // PROCESS_VM_WRITE for WriteProcessMemory

　　OpenProcess(PROCESS_CREATE_THREAD|PROCESS_VM_OPERATION|PROCESS_VM_WRITE,FALSE,remotepid); // 在远程进程中分配空间，以备将线程代码置入其中

　　VirtualAllocEx(rphandle,NULL,cb,MEM_COMMIT,PAGE_EXECUTE_READWRITE); // 将远程线程remote的代码写入到远程进程的地址空间中

　　WriteProcessMemory(rphandle,remotethr,(LPVOID)remote,cb,NULL); // 将远程线程所需的参数也写入到远程进程的地址空间中

　　WriteProcessMemory(rphandle,remotepar,(LPVOID)&rp,cb,NULL); // 创建远程监视线程

　　CreateRemoteThread(rphandle,NULL,0,(LPTHREAD_START_ROUTINE)remotethr,(LPVOID)remotepar,0,NULL);

　　毕竟本系列不是教大家编写病毒，而是剖析病毒的大概思路，所以上述程序大家有个大概的印象即可，这样在以后的实际分析中，就能有大概的应对思路。

　　四、小结

　　至此，QQ盗号木马(oso.exe)病毒程序的分析就到这里。希望大家喜欢.