Soru:
Doğada sanallaştırılmış paketleyiciler ne kadar yaygındır?
Andrew
2013-04-02 17:14:24 UTC
view on stackexchange narkive permalink

RE alanına yeni giriyorum ve yaklaşık bir yıl önce bir sınıfta sanallaştırılmış paketleyiciler (VMProtect veya Themida gibi) öğrendim. Vahşi doğada kötü amaçlı yazılımlar ne sıklıkla sanallaştırılmış paketleyicilerle doludur ve bunları statik analiz için paketinden çıkarmanın son durumu nedir?

Dört yanıtlar:
#1
+16
Ange
2013-04-02 17:21:49 UTC
view on stackexchange narkive permalink

sanallaştırıcıların doğada kullanımı

Nadiren kullanılırlar ve daha da kötüsü (veya daha iyisi), nadiren yararlı bir şekilde kullanılırlar.

nasıl kullanılırlar

Tipik olarak, yalnızca ana işlevin veya başka bir ikili paketleyicinin sanallaştırıcısının kullanılmasıydı ve her iki durum da analizi engellemez: sanallaştırılmış paketleyici kodunu atlarsanız, yine de orijinal paketlenmemiş kodu alırsınız .

neden daha sık kullanılmıyorlar

  • Hedefi şişirip yavaşlatıyor
  • doğru şekilde kullanmak önemsiz değil
  • Bunları (genellikle korsan) lisans filigranına göre tespit etmek oldukça yaygındır, bu nedenle ne sanallaştırırsanız tasarlayın, belirli bir parmak iziyle tespit edilir.

anlamlı bir örnek

AFAIK, bir kötü amaçlı yazılımda sanallaştırıcının (VMProtect burada) bilinen tek akıllı kullanımı, Nicolas Fallière'nin teknik inceleme yazdığı Trojan.Clampi'dir, ancak çok detaylı. Bunun için, tüm viral gövde sanallaştırıldı.

sanallaştırma hakkındaki makaleler

Bunlar için herkese açık bir indirme bağlantısı bulamadım (aksi halde iyi ) belgeler:

Akademik açıdan bir diğeri: [Kötü Amaçlı Yazılım Emülatörlerinin Otomatik Tersine Mühendislik Yapılması] (http://iseclab.org/people/andrew/download/oakland09.pdf)
Son teknoloji ürünü dinamik yaklaşım: http://www.cs.arizona.edu/~debray/Publications/ccs-unvirtualize.pdf
#2
+6
pnX
2013-04-03 14:49:02 UTC
view on stackexchange narkive permalink

Diğer yanıtlayıcıların sunulan görüşünü destekleyebilirim. Vahşi örneklere bakarken nadiren kod sanallaştırmayla karşılaşacaksınız.

Eklemek gerekirse, FinFisher'da kullanılan özel sanallaştırmaya bakan yeni bir Tora vaka çalışması burada var ( üzgünüm, PDF'ye doğrudan bağlantı, başka bir kaynak yok).

Burada kullanılan sanal makinede yalnızca 11 işlem kodu vardır, bu nedenle bu örnek kolayca anlaşılabilir ve özel sanal makinelerin arkasındaki bazı ortak tasarım ilkeleri hakkında bir izlenim elde etmek için kullanılabilir .

#3
+3
thisismalicious
2013-04-02 21:28:33 UTC
view on stackexchange narkive permalink

Yaklaşık geçen yıl içinde, sanallaştırılmış bir paketleyici (bu durumda VMProtect) kullanan yalnızca tek bir kötü amaçlı yazılım örneğiyle karşılaştığımı düşünüyorum. Baktığım örneklerin çoğu, orijinal PE'nin bellekten kolayca atılmasına izin veren aptal paketleyiciler kullanıyor. Tüm zamanımı kötü amaçlı yazılımlara bakmakla harcamıyorum, ancak genellikle bahsettiğim hacim hakkında biraz fikir vermek için haftada birkaç potansiyel olarak kötü amaçlı örneğe bakıyorum. Ayrıca, SpyEye yazarının kötü amaçlı yazılım oluşturucuyu korumak için VMProtect kullandığını hatırlıyorum, bu tür kitleri satan başkalarının da kullanıp kullanmadığından emin değilim. Citadel kurucusunun oldukça sağlam bir koruması olduğunu duydum, ancak ne olduğundan emin değilim.

Sorunuzun ikinci kısmıyla ilgili olarak, bir uzman değilim, ancak birkaç site geldi Bu şeyleri paketten çıkarmayı öğrenmekle ilgilenip ilgilenmediğinizi potansiyel olarak kontrol etmeyi unutmayın. Bu site, VMProtect ve Themida dahil olmak üzere çeşitli şeyleri paketten çıkarmakla ilgili bazı yayınlar içeriyor. Özellikle bu yazılara bakmadım, sadece orada olduklarını fark ettim. Sanırım bu belirli paketleyicilerin bazı sürümlerini tuts4you.com adresinde ele alan bazı eğiticiler de var, bunlardan bazılarına göz atmak isterseniz.

#4
+3
til
2013-04-02 21:47:04 UTC
view on stackexchange narkive permalink

Sorunuzun ilk kısmına: Gerçekten alana bağlı. Sanallaştırma tabanlı paketleyicilerden yararlanan kötü amaçlı yazılım örneklerinin tespit edilmesi genellikle kolaydır, bu da kötü amaçlı yazılım yazarının bakış açısından bir dezavantajdır. Algılamadan kaçınmak çok önemliyse, özellikle örneğinizin muhtemelen yine de özel olduğu hedefli saldırılarda geçerliyse, sanallaştırılmış paketleyiciler iyi bir fikir değildir. Sanırım bu yüzden sadece birkaç örnek bunlardan yararlanıyor. Geçen yıl içinde yalnızca bir tane (themida korumalı) gördüm.



Bu Soru-Cevap, otomatik olarak İngilizce dilinden çevrilmiştir.Orijinal içerik, dağıtıldığı cc by-sa 3.0 lisansı için teşekkür ettiğimiz stackexchange'ta mevcuttur.
Loading...