29、恶意软件解混淆与内存取证技术解析

恶意软件解混淆与内存取证技术解析

恶意软件作者常使用混淆技术来隐藏数据和信息，以逃避安全分析。本文将介绍恶意软件手动和自动解包的方法，以及内存取证的相关技术，帮助安全人员更好地分析和应对恶意软件。

1. 手动解包恶意软件

手动解包一个被打包的二进制文件，通常需要执行以下步骤：
1.识别原始入口点（OEP）：当一个打包的二进制文件被执行时，它会提取原始二进制文件，并在某个时刻将控制权转移到OEP。OEP是恶意软件在打包之前的第一条指令的地址。
2.执行程序直到到达OEP：让恶意软件存根在内存中自行解包，并在OEP处暂停（在执行恶意代码之前）。
3.将解包后的进程从内存转储到磁盘。
4.修复转储文件的导入地址表（IAT）。

1.1 识别OEP

以一个使用UPX打包器打包的恶意软件为例，我们可以通过以下方法识别OEP：
-使用pestudio检查：检查打包的二进制文件，发现它包含三个部分：UPX0、UPX1和.rsrc。入口点在UPX1部分，该部分包含解压缩存根，会在运行时解包原始可执行文件。
-分析UPX0部分：UPX0部分的原始大小为0，但虚拟大小为0x1f000，这表明它在磁盘上不占用空间，但在内存中占用0x1f000字节的空间。此外，UPX0部分具有读、写、执行权限，这意味着解包后的恶意代码可能会在该部分执行。
-使用