淺析土木數(shù)據(jù)中的加殼保護

一、脫殼保護的應用網(wǎng)絡上有很多有害信息。其中，以信息收集特洛伊木馬為首的惡意程序不僅威脅到互聯(lián)網(wǎng)用戶的隱私和財產(chǎn)保證，而且嚴重影響了整個網(wǎng)絡秩序。為了達到目的，一些犯罪分子使用特洛伊木馬進行生產(chǎn)和傳播。許多特洛伊木馬程序可以逃離大部分防病毒軟件和特洛伊木馬消除軟件，并為受害者提供預防措施。目前,網(wǎng)絡上的木馬惡意程序基本上都進行了加殼保護,公安實戰(zhàn)部門對其進行調(diào)試分析前,首先要進行脫殼操作。因此著重從電子數(shù)據(jù)取證角度研究木馬脫殼技術(shù),探討配合工具及手工方法破解多種類型木馬殼的方法,能夠為公安實戰(zhàn)部門提供相關(guān)方面的知識儲備,有助于辦案人員更有效的打擊以木馬為主要犯罪手段的網(wǎng)絡犯罪。二、特洛伊木馬復合技術(shù)在電子數(shù)據(jù)采集中的應用示例1.利用互聯(lián)網(wǎng)技術(shù)發(fā)現(xiàn)“老a期”的木馬惡意程序2009年8月,連續(xù)多名受害人向某地公安機關(guān)報案稱自己的魔獸世界游戲賬號被盜,經(jīng)過服務商找回賬號后發(fā)現(xiàn)賬號電子貨幣和游戲裝備被盜一空,每人損失少則幾百元,多則上萬元。經(jīng)過相關(guān)部門辦案人員對受害人使用過的網(wǎng)吧計算機進行勘查,在計算機硬盤上發(fā)現(xiàn)一種名為“老A魔獸在線破保馬”的木馬惡意程序。經(jīng)過進一步調(diào)查,辦案人員找到了該木馬惡意程序的生成器,其生成的木馬能夠用來盜取魔獸世界的賬號、密碼并在線破解魔獸世界的密保,但該生成器的編寫者在軟件本身也安插了后門,用來盜取生成器使用者的帳戶和密碼。該木馬生成器和生成的木馬如圖1和圖2所示。2.木馬生成器查殼分析使用OllyDbg對該木馬生成器進行分析查找字符串,沒有發(fā)現(xiàn)有意義的字符串(如圖3所示),由此懷疑該木馬程序加殼。使用查殼工具PEID對木馬生成器進行查殼,發(fā)現(xiàn)其所加殼為Petite2.x,如圖4所示。經(jīng)調(diào)查,Petite是一款Win32(Windows9x/NT等)可執(zhí)行文件壓縮器,它允許壓縮整個可執(zhí)行文件代碼、數(shù)據(jù)以及資源。Petite可以自動決定壓縮可執(zhí)行文件的哪些部分,以及哪些部分需要保留。壓縮過的文件運行起來就像原始的未壓縮版本一樣。3.入口地址修改脫殼的方法較多,為突出原理,本節(jié)使用“ESP定律手脫法”脫掉“老A魔獸在線破保馬生成器”的殼?！癊SP定律手脫法”是基于堆棧平衡原理,經(jīng)過多次試驗總結(jié)出的快速脫殼方法。使用Ollydbg載入老A魔獸在線破保馬生成器.exe后,F8單步運行,右邊寄存器窗口ESP值出現(xiàn)“0012FF96”,如圖5所示。在命令欄里輸入ESP的地址hr0012FF96,F9運行,運行到“0050310666:90popfw”,使用F8單步運行,直接就跳到OEP,也就是入口地址“00452A8455pushebp”,如圖6所示。然后用Ollydump進行脫殼,記住修改后的入口地址,脫殼后命名為2.exe,如圖7所示。如果脫殼后的木馬程序打不開,可以用ImportREC_fix.exe對其進行輸入表修復,注意入口地址修改后為00052A84,如圖8。再次使用查殼工具PEID對老A魔獸破保生成器.exe進行查殼,發(fā)現(xiàn)殼已經(jīng)被脫掉了,如圖9所示。PEID探測出木馬生成器是用BorlandDelphi6.0編寫的。脫殼后的老A魔獸破保生成器.exe雙擊可以正常運行,接下來便可以對其進行進一步的反匯編動態(tài)逆向分析了。4.設置斷點和木馬用OllyDebug載入,對木馬程序進行反匯編,載入木馬程序后,點擊“右鍵”→“查找”→“所有參考文本字串”,如圖10所示。在這里可以看到所有字符串,在這里查找關(guān)鍵的字符串,在關(guān)鍵字符串處下斷點,關(guān)鍵處主要為字符串為getmb.asp處,在它的上一個字符串跟入設置斷點,設置斷點的地方虛擬地址會以紅色顯示,見圖11所示。設置好斷點,就可以用OD運行程序進行分析,點擊“調(diào)試”→“運行”,木馬程序執(zhí)行。所有項目輸入好后點擊生成木馬。使用OllyDebug的F7跟入單步步過,分析程序。當?shù)竭_虛擬地址00452048處時,再執(zhí)行一次F7,解釋欄0012F1CC出現(xiàn)(ASCII“http:\12797.al6.C\login.asp”),此即該木馬盜號后發(fā)往的網(wǎng)頁地址,如圖12所示。通過上述分析得出,該生成器生成木馬的路徑為“D:\我的文檔\”,文件名為“aaa.exe”,功能為收集魔獸世界用戶的賬號、密碼,并破解游戲密保,然后發(fā)往網(wǎng)址http:\12797.\login.asp。三、網(wǎng)絡嗅探,激活木馬樣本軟件殼本來是計算機軟件中一段專門負責保護軟件不被非法修改或反編譯的程序,然而,為了防止被殺毒軟件查殺或被跟蹤調(diào)試,絕大多數(shù)木馬惡意程序也采用了殼的技術(shù)。在電子數(shù)據(jù)取證工作中,獲取木馬程序樣本之后,可以通過架設網(wǎng)絡嗅探器,然后激活木馬樣本的方式,獲知該木馬獲取的信息及其發(fā)往的地址。在實踐中發(fā)現(xiàn),多數(shù)情況下由于木馬中設置的運行有效期限或者其他運行條件已被破壞,木馬樣本往