学习札记-脚本木马的静态启发查杀

逆向病毒分析 1年前 (2022) admin
396 0 0



脚本木马样本的静态启发查杀

找出下载者木马链接的网站

运行样本文件通过process explore监测,找出所以来运行的PE类

学习札记-脚本木马的静态启发查杀

利用OD下断点 bp UrlCanonicalizeA/W找到下载链接

学习札记-脚本木马的静态启发查杀

对混淆方式的分析

发现存在大量注释来改变位移偏量

学习札记-脚本木马的静态启发查杀

许多用来混淆的双引号与加号隔开网址以及通过ASCII码来规避GET字符

学习札记-脚本木马的静态启发查杀

构造python实现解密

对可疑字符串的选取与匹配,利用正则匹配比较限定条件来判断混淆技术是否存在

学习札记-脚本木马的静态启发查杀

得到解密后的文件经过进一步简化从而获取文件的本质

学习札记-脚本木马的静态启发查杀

# -*- coding: utf-8-*-
import sys
import re
import os

def RegularModify(fileName):

       pattern_notes = re.compile(r'/*{1,2}[sS]*?*/')
       pattern_plus = re.compile(r'"[sS]{0,1}+[sS]{0,1}"')
       pattern_ascii= re.compile(r'(\x([0-9][0-9A-Za-z]))')
       oriFile = open(fileName)
       s = oriFile.read()
       s = pattern_notes.sub('',s)
       s = pattern_plus.sub('',s)
       generateFile = open(fileName + "_Gen",'w')
       ret = pattern_ascii.findall(s)
       for i in ret:
             s = s.replace(i[0], chr(int(i[1],16)))
       generateFile.write(s)
       generateFile.close()
       oriFile.close()
def FileDetect(fileName):
       ori = os.path.getsize(fileName)
       after = os.path.getsize(fileName + "_Gen")
       generateFile = open(fileName + "_Gen",'r')
       download = 0; file = 0;
       for lines in generateFile:
             if lines.find('GET') != -1 and lines.find('http') != -1:                  
                    download += 1
             elif lines.find('.exe') != -1 and lines.find('%TEMP%') != -1:
                    file += 1    
       if download and file and (ori/after>10):
             print (fileName + "  detected  HEUR:Trojan-Downloader.JS.Notes.gen")
       else:
             print (fileName + "  Clean")
       generateFile.close()
       
def Main():
       RegularModify(sys.argv[1])
       FileDetect(sys.argv[1])

Main()

启发特征提取

eg:样本1  单个字符逐步输入的混淆样本

学习札记-脚本木马的静态启发查杀

使用通配符来避免恶意程序的变种

Sig_Static_Word ="C6 84 24 ?? ?? 00 00 ?? C6 84 24 ?? ?? 00 C6 84 24 ??? ?? 00 00 ?? C6 84 24 ?? ?? 00 00 ??"



原文始发于微信公众号(Th0r安全):学习札记-脚本木马的静态启发查杀

版权声明:admin 发表于 2022年11月11日 上午7:56。
转载请注明:学习札记-脚本木马的静态启发查杀 | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...