можно обнаружить код командной оболочки в виде простых байтов — нажмите в этом месте C. Код будет дизассемблирован, и вы увидите, что по адресу 0x97 он содержит цикл декодирования на основе XOR.

При необходимости набор байтов можно похожим образом превратить в данные или строки формата ASCII, воспользовавшись соответственно клавишами D или A.

Плагины к IDA Pro

Таблица 5.4. Ручное дизассемблирование кода командной оболочки в документе paycuts.pdf

Продолжение 

Использование IDC-скриптов

IDA Pro поддерживает встроенный скриптовый язык, известный как IDC, который возник еще до широкого распространения скриптовых языков Python и Ruby. Подкаталог IDC внутри установочного каталога IDA содержит несколько демонстрационных IDC-скриптов, которые анализируют дизассемблированный текст. Они вам помогут, если вы решите изучить этот язык.

IDC-скрипт — это программа, полностью состоящая из статических функций. Аргументы можно указывать без типа, а для объявления локальных переменных используется ключевое слово auto.

IDC содержит множество встроенных функций. Вы можете ознакомиться с ними в справочных материалах IDA Pro или в файле idc.idc, который обычно подключается к скриптам, использующим эти встроенные функции.

В главе 1 мы обсуждали утилиту PEiD и ее плагин Krypto ANALyzer (KANAL), который способен экспортировать IDC-скрипты. IDC-скрипт добавляет закладки и комментарии в базу данных IDA Pro для заданного двоичного файла, как показано в листинге 5.5.

Листинг 5.5. IDC-скрипт, сгенерированный плагином KANAL утилиты PEiD

#include <idc.idc> static main(void){

auto slotidx; slotidx = 1;

MarkPosition(0x00403108, 0, 0, 0, slotidx + 0, "RIJNDAEL [S] [char]"); MakeComm(PrevNotTail(0x00403109), "RIJNDAEL [S] [char]\nRIJNDAEL (AES):

SBOX (also used in other ciphers).");

MarkPosition(0x00403208, 0, 0, 0, slotidx + 1, "RIJNDAEL [S-inv] [char]"); MakeComm(PrevNotTail(0x00403209), "RIJNDAEL [S-inv] [char]\nRIJNDAEL (AES):

inverse SBOX (for decryption)");

}

Чтобы загрузить IDC-скрипт, выберите пункт меню File Script File (Файл Файл скрипта). После этого скрипт должен немедленно выполниться, а на панели инструментов появятся две кнопки: одна для редактирования скрипта, а другая — для его повторного запуска.

Использование IDAPython

Плагин IDAPython полностью интегрирован в текущую версию IDA Pro и позволяет применять мощные и удобные скрипты на языке Python в анализе двоичных файлов. IDAPython использует множество функций из пакета разработки IDA Pro, предоставляя более практичные средства скриптования, чем IDC. IDAPython имеет три модуля, которые обеспечивают доступ к IDA API (idaapi), интерфейсу IDC (idc) и вспомогательным функциям самого плагина (idautils).

Скрипты в IDAPython — это программы, которые используют непосредственные адреса для выполнения первичного этапа адресации. Абстрактные типы данных отсутствуют, а большинство вызовов принимают либо непосредственный адрес, либо строку с именем символа. IDAPython содержит множество оберток вокруг основных IDC-функций.

В листинге 5.6 показан пример скрипта для IDAPython. Он предназначен для раскрашивания всех инструкций call в idb, чтобы аналитику было легче их распо­ знать. Например, ScreenEA является распространенной функцией, которая получает местоположение курсора.

Функция Heads будет использоваться для обхода объявленных элементов (в нашем случае это каждая инструкция). Сохранив все вызовы функций внутри functionCalls, мы перебираем и раскрашиваем их с помощью инструкции

SetColor.

from idautils import * from idc import *

heads = Heads(SegStart(ScreenEA()), SegEnd(ScreenEA()))

functionCalls = []

for i in heads:

if GetMnem(i) == "call": functionCalls.append(i)

print "Number of calls found: %d" % (len(functionCalls))

for i in functionCalls:

SetColor(i, CIC_ITEM, 0xc7fdff)

Использование коммерческих плагинов

Приобретя достаточный опыт работы с IDA Pro, вам стоит подумать о покупке нескольких коммерческих плагинов, таких как Hex-Rays Decompiler и zynamics BinDiff. Hex-Rays Decompiler превращает результат дизассемблирования в псевдокод на языке C, понятный человеку. Чтение такого кода вместо ассемблера часто ускоряет анализ, делая вас ближе к оригинальным исходным текстам, которые написал автор вредоноса.

BinDiff от zynamics — это инструмент для сравнения двух баз данных IDA Pro. Он позволяет выявить различия между разными вариантами вредоносного программного обеспечения, включая новые функции и разницу между похожими функциями. Одной из возможностей данного плагина является создание рейтинга схожести при сравнении двух участков вредоноса. Более подробно эти инструменты будут описаны в приложении Б.

Итоги главы

В этой главе предлагается лишь поверхностное введение в IDA Pro. В дальнейшем мы будем использовать эту программу в наших лабораторных работах, демонстрируя интересные способы ее применения.

Как вы могли убедиться, просмотр дизассемблированного кода является только одной из многих возможностей IDA Pro. Подлинная мощь этой программы заключается в ее интерактивных функциях — с их помощью мы маркировали код, чтобы упростить анализ.

Мы также обсудили разные способы просмотра кода на ассемблере с применением перекрестных ссылок и схематических представлений, которые ускоряют процесс анализа.

Проанализируйте зараженный файл Lab05-01.dll с помощью IDA Pro. Цель данной лабораторной работы — дать вам поупражняться в работе с этой программой. Если у вас уже есть опыт использования IDA Pro, можете пропустить эти вопросы и сосредоточиться на обратном проектировании вредоносного ПО.

Вопросы

1.Каков адрес функции DllMain?

2.Используйте окно Imports (Импорт), чтобы пройти к функции gethostbyname. Где происходит импорт?

3.Сколько функций делают вызов gethostbyname?

4.Обратите внимание на вызов gethostbyname по адресу 0x10001757. Можете определить, какой DNS-запрос будет выполнен?

5.Сколько локальных переменных было распознано IDA Pro для ответвления по адресу 0x10001656?

6.Сколько параметров было распознано IDA Pro для ответвления по адресу 0x10001656?

7.Используйте окно Strings (Строки), чтобы найти в коде строку \cmd.exe /c. Где она находится?

8.Что происходит на отрезке кода, в котором используется строка \cmd.exe /c?

9.На том же участке, по адресу 0x100101C8, находится глобальная переменная dword_1008E5C4, которая участвует в выборе пути выполнения. Каким образом вредонос устанавливает dword_1008E5C4? Подсказка: используйте перекрестные ссылки этой переменной.

10. Через несколько сотен строк после начала ответвления 0x1000FF58 находятся инструкции memcmp, которые используются для сравнения строк. Что произойдет, если сравнение со строкой robotwork окажется успешным (когда memcmp возвращает 0)?

11. Что делает экспортная функция PSLIST?

12. Используйте схематический режим, чтобы представить перекрестные ссылки из sub_10004E79. Какие вызовы Windows API могут быть сделаны при входе в эту функцию? Если исходить лишь из этих вызовов, как бы вы ее переименовали?

13. Сколько функций Windows API вызывается непосредственно из DllMain, а сколько — на втором уровне вложенности?

14. По адресу 0x10001358 находится вызов Sleep (функция Windows API, единственный параметр которой определяет, на сколько миллисекунд нужно остановиться). Пройдитесь вверх по коду и попытайтесь понять, как долго будет бездействовать программа, если этот участок выполнится.

15. По адресу 0x10001701 находится вызов socket. Какие три параметра он принимает?

16. Воспользуйтесь страницей MSDN для функции socket и библиотекой символьных констант в IDA Pro, чтобы придать этим параметрам больше смысла. Как они будут выглядеть после применения изменений?

17. Найдите в коде инструкцию in (опкод 0xED). В сочетании с волшебной строкой VMXh ее используют для обнаружения VMware. Относится ли это к данному вредоносу? Воспользуйтесь перекрестными ссылками на функцию, которая выполняет in, чтобы найти признаки обнаружения VMware.

18. Переместите курсор по адресу 0x1001D988. Что вы там видите?

19. Если у вас установлен плагин IDA Python (поставляется вместе с коммерческой версией IDA Pro), запустите скрипт Lab05-01.py, который содержится в архиве вредоносного ПО для этой книги (убедитесь в том, что курсор находится по адресу 0x1001D988). Что произойдет при выполнении скрипта?

20. Как превратить эти данные в единую строку в формате ASCII, не перемещая курсор?

21. Откройте скрипт в текстовом редакторе. Как он работает?