记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

火眼恶意代码分析系统自保机制绕过导致二进制泄露

2015-04-17 02:50

火眼恶意代码分析系统是金山在网络上发布的恶意代码分析工具,用户可以注册账号并提交可执行程序,系统会对其进行动态分析,确定其是否是恶意。在该系统里进行分析的程序和驱动有自我保护机制,然而这一机制并不严密,很容易绕过。并且利用该系统的特性可以很简单地获得这些被保护起来的二进制文件。

所有提交上火眼的程序,都会导入到一个XP虚拟机里运行,并且有监控驱动等程序获得程序运行时候的行为。而这些监控驱动以及辅助程序(分发、调度以及驱动加载等)存放在虚拟机的“C:\default\”文件夹下,还有一个环境变量指向该文件夹:%FEKERNEL%。

火眼对于这个文件夹提供了一定保护,任何访问该文件夹(遍历枚举、拷贝、读取其中文件内容等)的程序,其分析报告将会隐掉大部分内容,包括截图。然而这个保护并不完备,可以用很简单的手段绕过,从而拷贝得到其中的内容。

而被拷贝出来的内容由于不再受到保护,读取这些文件的行为将不会触发保护机制。使用专门编写的程序,即可通过特定方式,获得这些被保护起来的文件。

http://fireeye.ijinshan.com/analyse.html?md5=637b6521f0c7560612450a190bfa7f65

将这个样本报告的截图做如下处理:

1、将其中色块部分贴边完整截取下来,保存为bmp或者png图片;

2、编写一个解码脚本对其解码,规则如下:按中文阅读习惯(从左到右,从上到下),先读取前三个像素的RGB值,按RGBRGBRGB的顺序构成一个ULONG(最后一个像素的蓝色分量可丢弃),这个ULONG是数据块长度;然后按该长度读取剩余像素,按“RGB”的顺序依次将颜色分量字节写入一个文件;

3、用WINRAR打开这个文件,你会发现这里面是%FEKERNEL%里一级目录里的全部内容。

解决方案:

通过这份样本报告应该能定位问题所在

知识来源: www.2cto.com/Article/201504/390878.html

阅读:84319 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“火眼恶意代码分析系统自保机制绕过导致二进制泄露”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

九层之台,起于累土;黑客之术,始于阅读

推广

工具

标签云