最近在分析一个病毒时,病毒通过创建傀儡进程,内存映射来执行恶意代码。
但在分析的时候遇到附加后傀儡进程数据出错的问题。
百度到的常见傀儡进程流程:
(1)CreateProcess一个进程,并挂起,即向dwCreationFlags 参数传入CREATE_SUSPENDED;
(2) GetThreadContext获取挂起进程CONTEXT,其中,EAX为进程入口点地址,EBX指向进程PEB;
(3) ZwUnmapViewOfSection卸载挂起进程内存空间数据;
(4) VirtualAlloc分配内存空间;
(5) WriteProcessMemory将恶意代码写入分配的内存;
(6) SetThreadContext设置挂起进程状态;
(6) ResumeThread唤醒进程运行。
我分析的病毒的傀儡进程流程:
1) CreateProcess一个进程,并挂起,即向dwCreationFlags 参数传入CREATE_SUSPENDED;
2)在傀儡进程创建映射mapviewofsection;
3)代码修改OEP的数据
4)ZwUnmapViewOfSection卸载挂起进程内存空间数据;
5)Mapviewofsection映射镜像。
6)ResumeThread唤醒进程运行。
病毒本身含有傀儡进程的静态数据,通过在内存中修改数据在映射,并未使用GetThreadContext和 SetThreadContext来改数据。
并且傀儡进程在调用dll的时候不是直接调用,而是通过另一段映射过来的数据来使用。
解决问题:
1.问题成因:傀儡进程为exe文件,而病毒映射过来的为DLL文件。其基址不同。在dump后获取到的是DLL的默认基址,而非exe.
2.解决方法:1.试了将dump后的文件基址改为0x400000,发现不成功。直接dump下来的文件内存中将病毒进程映射过来的内存空间给优化了。
2.用工具从病毒中将DLL数据取出来,然后创建一个exe文件。
3.给exe添加一个区段,修改了区段大小后,使用010edit将dll数据粘贴至区段中。
4.改变oep或者oep写代码跳转至区段。
3.说明:病毒在将DLL文件映射过来的同时还是PE头前加了一段代码,代码是用了调用dll数据的。所以不能直接调用DLL文件。(流程不同。。。)