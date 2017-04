近几年来,随着互联网的普及,网络安全市场份额迅速增长,其开放性、应用市场的多元化等特点,都使得智能应用的开发领域极度繁荣。道高一尺魔高一丈,恶意软件也同样有了爆炸式的增长,直接威胁到个人隐私、支付安全等方面,无疑成为网络安全防护工作的重要目标。但海量恶意样本文件,给恶意软件研判分析工作带来了巨大的压力,如何进行恶意样本分析,如何提高效率,都成为实际的问题。

拆解Apk文件,反编译其中的资源文件,将它们反编译为可阅读的AndroidManifest.xml文件和res文件。

基本用法:在终端下运行命令

java -jar apktool.jar d yourApkFile.apk

// 注意 apktool.jar 是刚才下载后的jar的名称, d 参数表示decode

// 在这个命令后面还可以添加像 -o -s 之类的参数,例如

// java -jar apktool.jar d yourApkFile.apk -o destiantionDir -s

// 几个主要的参数设置方法及其含义:

-f 如果目标文件夹已存在,强制删除现有文件夹

-o 指定反编译的目标文件夹的名称(默认会将文件输出到以Apk文件名命名的文件夹中)

-s 保留classes.dex文件(默认会将dex文件解码成smali文件)

-r 保留resources.arsc文件(默认会将resources.arsc解码成具体的资源文件)

下图是运行命令后的结果,会生成一个文件夹

如果要指定生成的文件夹并且保留dex文件的话,可以使用命令

java –jar apktool.jar d FileName.apk –o DirectoryName -s

文件夹中的内容如下,其中的xml文件可以直接打开浏览:

到此已经得到一个可以用文本编辑器打开的阅读的AndroidManifest.xml文件、assets文件夹、res文件夹、smali文件夹等等。original文件夹是原始的AndroidManifest.xml文件,res文件夹是反编译出来的所有资源,smali文件夹是反编译出来的代码。注意,smali文件夹下面,结构和我们的源代码的package一模一样,只不过换成了smali语言。它有点类似于汇编的语法,是Android虚拟机所使用的寄存器语言。

这时,我们已经可以文本编辑器打开AndroidManifest.xml文件和res下面的layout文件了。这样,我们就可以查看到这个Apk文件的package包名、Activity组件、程序所需要的权限、xml布局、图标等等信息

将dex格式的文件,转换成jar文件。dex文件时Android虚拟机上面可以执行的文件,jar文件大家都是知道,其实就是java的class文件。

使用方法:使用终端命令定位到工具所在的目录,然后运行命令进行转换

d2j-dex2jar.bat C:\Temp\classes.dex

会在工具所在的目录下生成jar文件

功能查看java源代码

直接双击就可以运行此程序,然后将得到的jar文件直接拖进jd-gui程序的界面就可以查看源码。

在分析样本时,如果要到另一个函数或者地址处分析,那么可以使用跳转命令来到特定的地址处进行分析。使用命令Jump->Jump to Address或者在反汇编窗口下按G,可以打开Jump to Address对话框

在对话框中输入要跳转的地址,然后点击OK即可。并且IDA会记住我们在这个对话框中输入的值,通过一个下拉列表显示,以方便随后使用。

当我们分析样本时,通常会从一个函数跳转到另一个函数,接着再跳进其中的子函数,当看完子函数后,我们想回到原始的父函数的代码空间中去,就会用到导航历史记录。我们可以使用工具栏中的jump下的jump to previous position来跳转到前一个位置,jump to next position会跳转到后一个位置。

另一种方法比较简单,IDA的工具栏中有如下图所示的两个指针,可以实现同样的效果。

键盘上的esc键同样可以实现向前跳转,不过使用这个键需要谨慎,因为在其他窗口使用这个键的话,会关闭当前窗口,这时候可以使用View->Open Subview来重新打开不小心关闭的窗口。

还有一种更简便的方法,不过不是全部用户都可以使用。目前好多鼠标都有好多键,如果你的鼠标左侧有两个按键的话,也可使用这个按键来达到前进和后退的效果。

IDA文本搜索相当于反汇编列表窗口进行子字符串搜索。通过Search->Text(快捷键ALT+T)命令可以启动文本搜索。

在搜索框中显示了直观的选项规定了与搜索有关的细节,可以根据自己的需要来进行选择。最后,使用CTRL+T命令或者Search->Next Text命令可重复前一项搜索,以找到下一个匹配结果。

如果需要搜索特定的二进制内容,如已知的字节序列这时就不能使用文本搜索功能,而应使用IDA的二进制搜索工具。二进制搜索仅搜索十六进制视图窗口。使用Search->Sequence of Bytes或者使用快捷键ALT+B即可启动二进制搜索。

如果要搜索一个十六进制字节序列,应将搜索字符串指定为以空格分隔的两位十六进制值组成的列表。如ab cd,这与搜索AB CD的结果相同。如果要搜索内嵌的字符串数据,那么需要将搜索的字符串用引号括起来。

使用CTRL+B或Search->Next Sequence of Bytes可以搜索随后的二进制数据。最后,你没有必要在十六进制视图窗口中进行二进制搜索,IDA允许在活动的反汇编窗口中指定二进制搜索条件。如果成功找到与搜索条件相匹配的字符串,反汇编窗口将跳转到相应的位置

在进行样本分析时,ID A识别出来的函数名都是sub_xxxxxx,这种命名方式不适合我们阅读和分析,在我们进行分析后,知道函数或者变量的意义,那么我们可以对其进行重命名。方法是鼠标点击函数名或者变量,然后按下键盘上的N键,在弹出的窗口中写入新的名字即可。

在分析样本时,添加注释特别有用,它可以帮助我们随时掌握分析进程。具体来说,注释有助于以一种更高级的方式描述汇编语言指令序列。比如可以选择使用C语言语句添加注释,来总结某个特殊函数的行为,在随后的函数分析过程中,这些注释有助于迅速回忆起该函数的作用,而不需要重新分析汇编语言语句。

在反汇编窗口中右键某一行,选择Enter comment,或者使用快捷键分号(可重复注释)或冒号(常规注释)来添加注释。

在某些情况下,我们可能需要在没有函数的地方创建新函数。新函数可以由已经不属于某个函数的现有指令创建,或者由尚未被IDA以任何其他方式定义的原始数据字节创建。将光标放在将要包含在新函数中的第一个字节或指令上,然后选择Edit->Functions->Create Function即可创建一个新函数。在必要时,IDA会将数据转换成代码,接下来,它会向前扫描,分析函数的结构,并搜索返回语句,如果IDA能够找到正确的函数结束部分,他将生成一个新的函数名,分析栈帧,并以函数的形式重组代码。如果他无法找到函数的结束部分,或者发现任何非法指令,则这个操作将以失败告终。

可以使用Edit->Functions->Delete Function命令删除现有函数。如果认为IDA自动分析错误,就可以使用这个方式来删除这个函数。

IDA将高级语言进行反汇编存在一个缺点,那就是它极少提供有关数组大小方面的信息。通常,数组中的其他元素并不直接引用,而是经过更加复杂的索引计算,通过其与数组开头之间的偏移量来引用。使用IDA可以将连续的数据定义结合起来,组成一个单独的数组定义。要创建数组,首先选择数组中的第一个元素,然后通过Edit->Array命令打开创建数组的对话框。如果指定位置的一个数据项已经被定义,那么,当右键该项时,上下文菜单中将显示Array选项。要创建的数据类型有我们选择作为数组第一个元素的项的数据类型决定。

下面对该对话框中用于创建数组的字段进行解释:

如果样本使用了某个结构体,当时IDA并不能识别出来,这时就需要我们借助IDA提供的实用工具来设置该结构体的布局,并将新定义的结构体包含到反汇编清单中。IDA使用Structures窗口来创建新的结构体。除非结构体已经在Structures窗口中列出,否则无法将结构体包含到反汇编代码清单中。IDA将自动识别Structures窗口中列出任何它能够识别,并确定已被一个程序使用的结构体。

下面以创建一个Test结构体为例进行讲解。

在Structures窗口的前4行显示了在该窗口中可能进行的操作,在这里我们使用创建一个结构体的命令Ins。按下按键“Insert”打开如下窗口

在Structure name中输入要创建的结构体名称。前两个复选框用于决定新结构体在Structures窗口中的显示位置,或者是否在窗口中显示新结构体。第三个复选框Create union(创建联合),指定定义的结构体是否为C风格联合结构体。Add standard stucture按钮用于访问IDA当前能够识别的全部结构体数据类型。输入完结构体名名称后,点击OK按钮来创建也给空结构体定义。

接下来对结构体中的成员进行定义。通过如下几步完成

1.将光标放在结构体定义的最后一行(包含ends的那一行)并按下D键,可以在结构体的末尾添加一个新的字段。

字段的大小取决于逐句转盘上选择的第一个大小。

2.如果需要修改该字段的大小,将光标放在新字段的名称上,然后重复按下D键,使数据转盘上的数据类型开始循环,从而为新字段选择正确的数据大小。还可以使用Options->Setup Data Type来指定一个在数据转盘上不存在的大小。

3.如果要更改一个结构体字段的名称,单击名称并按下N键,在弹出的对话框中输入新的名称即可。

当创建自定义的结构体时,参考下面的提示会有所帮助

通过重复应用这些步骤,就可以创建Test结构体。

Ollydbg是一款强大的动态跟踪工具,Ring3级调试器,具有可视化的界面,它上手容易功能强大,同时还支持插件扩展功能,成为了目前最强大的调试工具。接下来介绍一下OllyDbg的使用方法。

F2:设置断点

F8:单步步过,不进入子函数

F7:单步步入进入子函数

F9:运行

F4:运行到光标所在处

CTR+F9:执行到返回,此命令在执行到一个ret指令时暂停,如果进入到一个函数中,代码量比较大,并且没有什么意义,可以使用此命令,直接运行到当前函数的结尾处。

ALT+F9:执行到用户代码。可用于从系统领空快速返回到我们调试的程序领空。

F12:暂停程序执行

当使用OllyDbg打开可执行程序时默认出现如下界面,包含反汇编,数据,寄存器,堆栈。

数据窗口用于显示内存或文件的内容。你可以从以下预处理格式[predefined formats]中选择一种显示方式:字节[byte]、文本[text]、整数[integer]、浮点数[float]、地址[address],反汇编[disassembly]、 PE头[PE Header]。

像反汇编窗口一样,数据窗口也保存了大量查看内存地址的历史记录。你可以通过“+”和“—”键来访问过去查看过的数据地址空间。要翻动一字节的数据,可以按住Ctrl+↓或Ctrl+↑。

下图为显示某地址的内存数据:

调用栈窗口根据选定线程的栈,尝试反向跟踪函数调用顺序并将其显示出来,同时包含被调用函数的已知的或隐含的参数。

调用栈窗口包含5个栏目:地址[Address]、栈[Stack]、程序/参数[Procedure/Arguments],调用来自[Called from],框架[Frame]。分别介绍如下:

关于断点的原理在理论篇已经介绍过了,所以这里只介绍不同断点的作用和设置方法。

直接按下F2键就可在光标位置处下一个一般断点,程序将在设断指令被执行之前中断下来。

条件断点是一个带有条件表达式的一般断点,对于频繁调用的函数,仅当特定参数传给他时才中断程序执行,在这种情况下,条件软件断点很有用,可以节省调试时间。可以使用快捷键Shift+F2来添加条件断点,也可以通过右键来选择设置条件表达式。

将会出现如下的窗口

然后在窗口中输入想断下来的表达式即可。

条件记录断点除了具有条件断点的作用,还能记录断点处函数表达式或参数的值,也可以设置通过断点的次数,每次符合暂停条件时,计数器减一。

比如要记录CreateFileW函数的情况,在CreateFileW函数的第一行,按Shift+4键,或右键选择。

将会出现条件记录窗口,比如我们希望此函数调用时,当ShareMode==2时断下来,并且记录ShareMode的历史值,就可以按如下方式填写:

Condition中输入要设置的条件表达式,Explanation中由用户自己设置一个名称,Expression中是要记录的内容的条件,只能设置一个表达式,Pause program是指OD遇到断点时是否中断,Log value of expression是指遇到断点时是否记录表达式的值,Log function arguments是指遇到断点时记录函数参数。

当调试器断下来后,使用快捷键Alt+L查看记录:

如上图:红色部分就是我们记录的数据。

OllyDbg每一时刻只允许使用一个内存断点。我们可以在反汇编窗口,CPU窗口,数据窗口中选择一部分内存,然后对其设置内存断点。如果有以前的内存断点,将被自动删除。我们可以设置两类内存断点:在内存访问(读,写,执行)时中断,或内存写入时中断。设置此类断点时,OllyDbg将会改变所选部分的内存块的属性。关于内存断点的原理请参考理论篇的知识。

内存断点的设置方法如下:

硬件断点和内存断点不同,他不会降低程序的执行速度,但是只能允许设置4个硬件断点,它可以可以在不改变代码,堆栈以及任何目标资源的前提下进行调试。

如果需要设置硬件断点,在目标地址处右键,选择BreakPoint->Hardware,on Execution。即可设置硬件断点。

OllyDbg以简单而有效的线程管理为特色。当进行单步调试、跟踪、执行到返回或者执行到所选,则线程管理器将停止除当前线程以外的所有线程。即使当前线程被挂起,它也会将其恢复。可以通过下图的操作来查看线程的状态:

线程窗口中可能会有如下五种状态:

线程窗口同时也显示了最后的线程错误和该线程以用户模式和系统模式运行的时间。线程窗口还会高亮主线程的标识符。

当异常发生时,OD会暂停运行,可以使用以下方法来决定是否将异常转到应用程序处理

在恶意代码分析期间最好忽略所有异常,因为调试的目的并不是修复这些异常。

WinDbg是个非常强大的调试器,它设计了极其丰富的功能来支持各种调试任务,包括用户态调试、内核态调试、调试转储文件、远程调试等等。WinDBG具有非常大的灵活性和可扩展性,用来满足各种各样的调试需求,比如用户可以自由定义调试事件的处理方式,编写调试扩展模块来定制和补充WinDBG的调试功能。

WinDbg主要以命令方式工作,主要分为三类:标准命令、元命令和扩展命令。

标准命令通常是一两个字符或者符号,用来提供适用于各种调试目标的最基本调试功能。至今为止,Windbg已经实现了130多条标准命令,分为60多个系列。为了便于记忆,这里根据功能将标准命令分为如下18个子类:

在命令行中输入一个问号(?)可以显示主要的标准命令和每个命令的简单介绍。

元命令用来提供标准命令没有提供的常用调试功能,所有元命令都是以一个点(.)开始,所以元命令也被称为点命令。按照功能,可以把元命令分为如下几类:

扩展命令用于实现针对特定调试目标的调试功能。Windbg程序包中包含了常用的扩展命令模块,存放在以下几个子目录中。

NT4CHK:调试目标为Windows NT4.0 checked版本时的扩展命令模块。

NT4FRE:调试目标为Windows NT 4.0 Free版本时的扩展命令模块。

W2KCHK:调试目标为Windows 2000 Checked版本时的扩展命令模块。

W2KFRE:调试目标为Windows 2000 Free版本时的扩展命令模块。

WINXP:调试目标为Windows XP或更高版本时的扩展命令模块。

WINEXT:适用于所有 Windows 版本的扩展命令模块。

下表列出了WINXP和WINEXT目录中的所有扩展命令模块

执行扩展命令时,以叹号(!)开始,完整格式是

![扩展模块名].<扩展命令名>[参数]

其中扩展模块名可以省略,如果省略,Windbg会自动在已经加载的扩展模块中搜索指定的命令。

因为扩展命令是实现在动态加载的扩展模块中,所以执行时需要加载对应的扩展模块。当调试目标激活时,Windbg会根据调试目标的类型和当前的工作空间自动加载命令空间中指定的扩展模块,同时也可以手动加载,方法如下:

使用.load命令加上扩展模块的名称或者完整路径来加载它,如果没有指定路径,那么Windbg会在扩展模块搜索路径中寻找这个文件,使用.loadby命令加上扩展模块的名称和一个已经加载的程序模块的名称。这时Windbg会在指定的程序模块文件所在目录中寻找和加载扩展命令模块。比如在调试托管程序时,可以使用.loadby sos mscorwks命令让Windbg在mscorwks模块所在的目录中加载sos扩展模块,这样可以保证加载正确版本的sos模块。

使用.chain命令可以列出当前加载的所有扩展模块,使用.unload和.unloadall命令可以卸载指定的或者全部扩展模块。大多数扩展模块都支持help命令来显示这个模块的基本信息和所包含的命令,例如执行!ext.help可以显示ext模块中的所有扩展命令。

Windows是个典型的多任务操作系统,在一个系统中可以由多个登陆会话(Logon Session),每个会话中可以运行多个进程,每个进程又可以包含多个线程。在调试这样的系统时,大多数命令操作或者执行结果都是基于一定上下文的。Windbg定义了如下几种上下文:会话上下文,进程上下文,寄存器上下文和局部变量上下文,下面讲解每种上下文的含义与切换方法。

登陆会话上下文指的是当前操作或陈述所基于的登录会话语境。例如,对于会话A的所有进程来说,会话A的状态和属性便是他们的会话上下文。使用!session扩展命令可以显示或者切换登录会话上下文。

kd> !session Sessions on machine: 3 //系统中有三个会话 Valid Sessions: 0 1 3 //有效的会话ID是0,1,3 Current Session 3 //当前的会话ID是3 kd> !session -s 0 //使用-s可以设置当前的会话ID Sessions on machine: 3 Implicit process is now 898a4da0 //同时把默认的进程切换为898a4da0 WARNING: .cache forcedecodeuser is not enabled Using session 0 //使用0号会话作为上下文