Fork me on GitHub

识别汇编中的C代码结构


知识点

本章将通过讨论超过十种的不同的C代码结构来分析不同的汇编代码,帮助我们快速的提升形成恶意代码功能的高级视图的能力

全局变量|局部变量:全局变量可以被程序中任意函数访问和使用,局部变量只能在它被定义的函数中访问,在汇编代码中,全局变量通过内存地址引用,而局部变量通过栈地址引用。

识别if语句:有if语句一定存在跳转,但是有跳转不一定是if语句,if语句前有一个cmp指令用于对比条件,之后会有一个jnz指令来决定是否进行跳转。

for循环:for循环是一个C变成使用的基本循环机制。for循环总之有四个组件:初始化、比较、执行命令、变量的递增或递减。

while循环:while循环与for循环的汇编代码类似,但是区别在于while循环没有递增或者递减的代码。当一个cmp指令返回一定的值后while循环就会终止。

switch语句:switch语句通常以两种方式被编译,使用if样式或者使用跳转表。跳转表是编译器对汇编代码做出的优化,一旦很多个cmp指令的数据成等差数列,则编译器会把跳转地址与数据联系起来做成跳转表。

函数调用约定:函数调用约定决定了函数调用发生的方式,这些约定包含了参数被放在栈上或寄存器中的次序,以及是由调用者还是被调用者负责在函数执行完成时清理栈。以下时常见的三种调用约定;

  • cdecl:这是最常用的调用约定之一,此约定下。参数从右至左被压入栈,当函数执行完成后由调用者清理栈。
  • stdcall:除了被调用者在函数执行完成之后清理栈之外,其他与cdecl约定非常类似。
  • fastcall:fastcall调用约定跨编译器时变化最多,但是整体上的工作情况时类似的,在此约定中,前一些参数(典型的是前两个)被传到寄存器中,备用的寄存器是EDX和ECX(微软fastcall约定),如果需要的话,剩下的参数再以从右至左的次序被加载到栈上,通常使用fastcall比其他约定更高效。

反汇编数组:在汇编代码中,数组是通过一个基地址作为起始点来进行访问的,每一个元素的大小并不总是明显的,但是可以通过看这个数组是如何被索引的来进行判断。

识别结构体:结构体和数组类似,在IDA中可以使用热键T来建立结构体的识别。

课后练习

Lab6-1

在这个实验中,你将分析在文件Lab06-01.exe中发现的恶意代码。

问题

1.由main函数调用的唯一子过程中发现的主要代码结构是什么?

可以由IDA的图形模式很简单的看出这是一个if语句的结构

2.位于0x40105F的子过程是什么?

printf

3.这个程序的目的是什么?

跟着程序的顺序走,先找到main函数:

main函数中只有一处函数调用sub_401000,查看该函数的逻辑:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
.text:00401000 sub_401000      proc near               ; CODE XREF: _main+4↓p
.text:00401000
.text:00401000 var_4 = dword ptr -4
.text:00401000
.text:00401000 push ebp
.text:00401001 mov ebp, esp
.text:00401003 push ecx
.text:00401004 push 0 ; dwReserved
.text:00401006 push 0 ; lpdwFlags
.text:00401008 call ds:InternetGetConnectedState
.text:0040100E mov [ebp+var_4], eax
.text:00401011 cmp [ebp+var_4], 0
.text:00401015 jz short loc_40102B
.text:00401017 push offset aSuccessInterne ; "Success: Internet Connection\n"
.text:0040101C call sub_40105F
.text:00401021 add esp, 4
.text:00401024 mov eax, 1
.text:00401029 jmp short loc_40103A
.text:0040102B
.text:0040102B loc_40102B: ; CODE XREF: sub_401000+15↑j
.text:0040102B push offset aError11NoInter ; "Error 1.1: No Internet\n"
.text:00401030 call sub_40105F
.text:00401035 add esp, 4
.text:00401038 xor eax, eax
.text:0040103A
.text:0040103A loc_40103A: ; CODE XREF: sub_401000+29↑j
.text:0040103A mov esp, ebp
.text:0040103C pop ebp
.text:0040103D retn
.text:0040103D sub_401000 endp

可以从以上内容看到决定jz跳转的是函数InternetGetConnectedState,查阅MSDN发现此函数当存在一个可用的网络连接时返回值为1,ZF标志位为0,jz指令不执行,因此程序调用printf输出"Success: Internet Connection\n"否则输出"Error 1.1: No Internet\n"。因此可以得出判断这是一个用于测试网络连接状态的函数。

Lab6-2

分析在Lab06-02.exe中发现的恶意代码。

问题

1.main函数调用的第一个子过程执行了什么操作?

发现这道题的程序跟上一题是一模一样的,就是判断当前是否有网络连接。

2.位于0x40117F的子过程是什么?

还是跟上题一样,printf()

3.被main函数调用的第二个子过程做了什么?

尝试下载http://www.practicalmalwareanalysis.com/cc.htm并解析此网页的注释部分。

1
.data:004070C4	0000002F	C	http://www.practicalmalwareanalysis.com/cc.htm
1
2
3
4
5
6
7
8
9
if ( Buffer != '<' || v2 != '!' || v3 != '-' || v4 != '-' )
{
sub_401271(aError23FailToG);
result = 0;
}
else
{
result = v5;
}

4.在这个子过程中使用了什么类型的代码结构?

if语句的结构和数组,以下明显是一个数组的比较过程:

5.在这个程序中有任何基于网络的指示吗?

程序会尝试下载网页http://www.practicalmalwareanalysis.com/cc.htm

6.这个恶意代码的目的是什么?

连接http://www.practicalmalwareanalysis.com/cc.htm用于远程命令和控制服务器。

Lab6-3

在这个实验中,我们会分析在文件Lab06-03.exe中发现恶意代码。

问题

1.在比较main函数与实验6-2的main函数调用。从main中调用的新函数是什么?

sub_401130

2.这个新的函数的参数是什么?

char a1 LPCSTR lpExistingFileName
从网页中解析出来的命令 程序名

3.这个函数包含的主要代码结构是什么?

1
2
.text:00401150                 mov     edx, [ebp+var_8]
.text:00401153 jmp ds:off_4011F2[edx*4] ; switch jump

由这个跳转命令可以得知这里主要的代码结构是switch结构,采用跳转表。

4.这个函数能够做什么?

根据获取到的指令来执行不同的操作,比如创建目录C:\\Temp、拷贝文件cc.exe至目录C:\\Temp、删除文件、休眠100s、打印错误信息、删除文件。

5.在这个恶意代码中有什么本地特征吗?

创建目录C:\\Temp,创建文件cc.exe、注册表键Software\Microsoft\Windows\CurrentVersion\Run

6.这个恶意代码的目的是什么?

根据网页注释中的命令来选择在目标主机上选择执行不同的功能。

Lab6-4

在这个实验中,我们会分析在文件Lab06-04.exe中发现的恶意代码。

问题

1.在实验6-3和实验6-4的main函数的调用之间的区别是什么?

函数地址发生了变化。

2.新的代码结构已经被添加到main中?

实验6-4的main函数中有一个for循环,而实验6-3是一个if判断语句:

3.这个实验的解析HTML的函数和前面实验中的那些有什么区别?

这个实验中,此函数新增了一个参数作为函数sprintf()的参数

sprintf(&szAgent, aInternetExplor, a1);

4.这个程序会运行多久?(假设它以经连接到互联网)

Sleep函数的参数为

此循环会执行1440次,因此程序会运行1440*60s=1440m=24h=1d

所以此程序会运行整整一天。

5.在这个恶意代码中有什么新的基于网络的迹象吗?

这道题需要细心,之前的HTTP头中的User-Agent使用的是Internet Explorer 7.5/pma,而现在是Internet Explorer 7.5/pma%d

6.这个恶意代码的目的是什么?

在24小时内每一分钟连续尝试从网页上获取命令并执行。


本章结束🎊

您的支持是我最大的动力🍉