Tổng quan về mẫu malware Virus.Win32.Virut.ce- Phần 4

Số trang: 6 Loại file: pdf Dung lượng: 319.61 KB Lượt xem: 16 Lượt tải: 0

10.10.2023

Phí lưu trữ: 5,000 VND

Xem trước 2 trang đầu tiên của tài liệu này:

Thông tin tài liệu:

Tổng quan về mẫu malware Virus.Win32.Virut.ce Phần 4Giải mã phần body chính Bộ phận đảm nhiệm khả năng thực thi trong các đoạn code được giải mã, sẽ khởi động sau khi virus hoàn tất các hoạt động ban đầu của nó như việc khôi phục mã gốc, khởi tạo tên đối tượng và lưu trữ địa chỉ của các hàm tương ứng được sử dụng trực tiếp từ thư viện hệ thống DLLs và anti-cycle.
Nội dung trích xuất từ tài liệu:
Tổng quan về mẫu malware Virus.Win32.Virut.ce- Phần 4 Tổng quan về mẫu malware Virus.Win32.Virut.ce Phần 4Giải mã phần body chínhBộ phận đảm nhiệm khả năng thực thitrong các đoạn code được giải mã, sẽ khởiđộng sau khi virus hoàn tất các hoạt độngban đầu của nó như việc khôi phục mãgốc, khởi tạo tên đối tượng và lưu trữ địachỉ của các hàm tương ứng được sử dụngtrực tiếp từ thư viện hệ thống DLLs vàanti-cycle.Nếu quá trình giải mã Main được xem là 1phần hoặc 1 bộ phận phân tách riêng biệt,thì toàn bộ mã sinh ra bởi tiến trình nàyhoàn toàn vô nghĩa, ví dụ như chỉ dẫnRETN được gọi ra để quản lý, điều khiểnviệc thay đổi vị trí 1 cách ngẫu nhiên.Trước khi quá trình giải mã chính thứcdiễn ra, RETN (0C3h) sẽ được thay thế bởihàm CALL (0E8h). Chúng ta có thể hìnhdung quá trình này như sau:ADD/SUB/XOR [EBP + xx], byteregTheo đó, EBP sẽ được trỏ tới địa chỉ củahàm CALL, và bytereg chỉ là 1 trong sốnhững giá trị byte đã được đăng ký.Do vậy, chúng ta có thể cho rằng chu trìnhbắt đầu thực sự sau khi quá trình giải mãRETN sẽ được thay đổi thành CALL.Theo đúng trình tự là quá trình obfuscated– phần còn lại của body của virus. Khôngchỉ sử dụng số lượng lớn các thuật toán, vànhiều trong số này thực sự phức tạp hơnrất nhiều so với phần còn lại với trình giảimã Init. Thông thường, sẽ có từ giữa 2 đến6 các thuật toán được dùng để kết hợp. Vàtrong các thuật toán này, trình quản lýđăng ký EDX chứa key giải mã, và vớiEAX chứa toàn bộ địa chỉ ảo nơi bắt đầucủa static body. Các ứng dụng quản lýregister chứa đựng các chỉ dẫn của hàmtương ứng có thể giống như sau:MOVZX/MOV dx/edx, [ebp + const] LEAeax, [ebp + const]Các thuật toán được sử dụng chủ yếu nhưtrong ví dụ dưới đây:ROL DX, 4XOR [EAX], DLIMUL EDX, EDX, 13hADD [EAX], DLROL DX, 5IMUL EDX, 13hXOR [EAX], DHADD [EAX], DLXCHG DH, DLIMUL EDX, 1FhXOR [EAX], DHXCHG DH, DLADD [EAX], DHIMUL EDX, 1FhXOR [EAX], DLADD [EAX], DHIMUL EDX, 2BhXCHG DH, DLĐương nhiên, những chỉ dẫn được sử dụngnày sẽ thay đổi theo thời gian.