Запускаемый файл

Идентификация и профилирование файлов

Крипторы

Программы шифрования исполняемых файлов или шифровальщики , более известные по своим разговорным «подпольным» именам шифровальщики (или шифровальщики ) или защитники , служат для злоумышленников той же цели, что и программы упаковки. Они предназначены для того, чтобы скрыть содержимое исполняемой программы, сделать ее недоступной для обнаружения антивирусом и IDS и противостоять любым попыткам обратного проектирования или взлома. В отличие от программ упаковки, шифровальщики достигают этой цели, применяя алгоритм шифрования к исполняемому файлу, в результате чего содержимое целевого файла зашифровывается и не поддается расшифровке. Подобно упаковщикам файлов, шифровальщики записывают заглушку, содержащую процедуру дешифрования, в зашифрованный целевой исполняемый файл, вызывая, таким образом, изменение точки входа в исходном двоичном файле. После выполнения программа-шифровальщик запускает процедуру дешифрования и динамически извлекает исходный исполняемый файл во время выполнения, как показано на рис. 7.47.

Рисунок 7.47. Создание и выполнение исполняемого файла, защищенного шифрованием

Совет по анализу

Общие упаковщики и крипторы

Ниже приведен список некоторых распространенных защитников исполняемых файлов. Как всегда, исследуя эти программы, руководствуйтесь здравым смыслом и осторожностью; многие из них были разработаны хакерами и размещены на вредоносных веб-сайтах! Рассмотрите возможность проведения такого исследования с виртуальной машины или изолированной машины на случай, если сайт попытается сбросить вредоносную полезную нагрузку. Настоятельно рекомендуется применять такие меры предосторожности, когда это практически возможно.

Armadillo: www.siliconrealms.com/armadillo_engine.shtml
ASPack/ASProtect: www. aspack.com
BeRoEXEPacker: http://bero.0ok.de/blog/projects/beroexepacker/
CExe: www.scottlu.com/Content/CExe.html
Exe32pack: www.steelbytes.com
EXECryptor: www.strongbit.com/execryptor.asp
eXPressor: www.expressor-software.com/
FSG: www.exetools.com/protectors.htm
Криптон: http://programmerstools.org/taxonomy/term/17?from=20 ​​
MEW : www.exetools.com/protectors.htm
Molebox: www. molbox.com/
Морфин: www.exetools.com/protectors.htmd>
NeoLite: www.exetools.com/protectors.htm
Обсидиум: www.obsidium.de/show.php?download
PEBundle: www.bitsum.com/pebundle.asp
PECompact: http://www.bitsum .com/.
PE Crypt 32: www.opensc. ws/asm/1071-pecrypt.html
PELock: http://pelock.com/page.php? p = pelock # загрузить
PEPack: www.dirfile.com/freeware/pepack.htm
PESpin: pespin.w.interia.pl/
Маленькая: www.exetools.com/protectors.htm
PKLite32: http ://pklite32.qarchive.org/
PolyCryptPE: www.cnet.com.au/downloads/0, 239030384,10420366s, 00.htm
RLPack: http://rlpack.jezgra.net
SFX: www.exetools.com/protectors.htm
Shrinker32: www.exetools.com/protectors.htm
Themida: www.oreans.com/downloads.php
UPX: http://upx.sourceforge.net/ td>
yoda protector/crypter yodap.cjb.net/

Обнаружение упаковщика и шифровальщика Инструменты

PEid 59 60 61 — это упаковщик и Бесплатная программа обнаружения cryptor, наиболее часто используемая специалистами по цифровым расследованиям, как из-за высокой скорости обнаружения, так и из-за простого в использовании графического интерфейса пользователя, который позволяет сканировать несколько файлов и каталогов с опциями эвристического сканирования. Запустив наш подозрительный файл, PEid идентифицирует подпись ASPack, как показано на рис. 7.48.

Рисунок 7.48. Меню плагина PEid

Также обратите внимание на рис. 7.48, что PEid содержит интерфейс плагина 60 , который обеспечивает дополнительное обнаружение. функциональность.

В дополнение к PEid существует ряд других инструментов обнаружения обфускации, которые предлагают немного другие функции и плагины. Например, PE Detective, 61 , созданный Даниэлем Пистелли, может сканировать отдельный PE-файл или рекурсивно сканировать целые каталоги для выявления сигнатур компиляции и обфускации. PE Detective развертывается вместе с обозревателем подписей, показанным на рис. 7.50, который представляет собой расширенный менеджер подписей для проверки коллизий, обработки, обновления и получения подписей.

Рисунок 7.50. PE Detective Signature Explorer

Чтобы проверить файл в PE Detective, просто определите подозрительный файл с помощью функции просмотра или перетащите файл в интерфейс инструмента. Выходные данные инструмента появятся на главной панели «совпадений». Если имеется несколько результатов подписи, они будут перечислены в порядке убывания приоритета. Данные для каждого идентифицированного совпадения показывают имя подписи, количество совпадений (то есть, сколько байтов в совпадении подписи) и возможные комментарии относительно подписи..

При изучении нашего подозрительного файла с помощью PE Detective выявляются две перестановки сигнатуры ASPack, как показано на рисунке 7.49.

Рисунок 7.49. Изучение Video.exe с помощью PE Detective

Еще одна отличная утилита для определения как механизмов двоичной обфускации, так и других характеристик и идентификаторов вредоносных файлов — Red Curtain (MRC) от Mandiant. 62 MRC проверяет исполняемый файл Windows и определяет его уровень «подозрительности», оценивая его по набору определенных критериев. В частности, MRC исследует несколько аспектов подозрительного исполняемого файла, включая энтропию, признаки запутывания, подписи компилятора, наличие цифровых подписей и другие характеристики, а затем генерирует «балл» угрозы в качестве предварительной «лакмусовой бумажки» при принятии решения. требует ли конкретный файл дальнейшего более тщательного исследования. После запроса целевого файла MRC создает отчет в формате XML с подробным описанием его анализа. xvii Пользовательский интерфейс отображает отчет в виде сетки, очень похожей на типичное приложение для работы с электронными таблицами, что позволяет исследователю цифровых технологий упорядочивать различные столбцы, содержащиеся в отчете, как показано на рисунке 7.51.

Рисунок 7.51. Загрузка Video.exe в Mandiant Red Curtain

Еще одна интересная и ценная особенность MRC заключается в том, что он предлагает режим «роуминга», позволяющий установку агента на съемном носителе для быстрого сбора информации из других систем без необходимости установки полного приложения MRC (для чего требуется .NET). Собранная агентом информация впоследствии может быть открыта в пользовательском интерфейсе MRC для анализа.

Более того, в отличие от традиционных утилит обнаружения упаковки, которые просто сканируют целевой двоичный файл для обнаружения присутствия известного упаковщика или сигнатуры шифровальщика, MRC также фокусируется на файловой энтропии или мере «случайности» в коде. Как правило, код, скремблированный с помощью упаковщика или шифровальщика, будет иметь более высокую энтропию. Для определения энтропии подозрительного двоичного файла MRC реализует метод скользящего окна: а именно, MRC сначала вычисляет глобальную энтропию файла. Затем определяется энтропия источника выборки, вычисляя среднее значение и стандартное отклонение, полученные путем разделения запрашиваемого файла на перекрывающиеся части и вычисления энтропии, связанной с каждым из них. И, наконец, источник выборки и глобальные энтропии сравниваются с порогом, так что если любое значение энтропии больше порога, запрашиваемый образец определяется как энтропийный и, следовательно, потенциально вредоносный.. xviii

Помимо оценки энтропии файла, MRC исследует ряд других свойств в запрошенном образце. файл, включая цифровые подписи, встроенные в файл, аномалии структуры PE, необычные импортированные файлы.dll и разрешения разделов, для расчета совокупной «оценки угроз». Оценки угроз и соответствующие значения, определенные Mandiant, показаны на рисунке 7.52.

Рисунок 7.52. Рейтинг угроз Mandiant

Оценка угрозы Заключение
0,0 — 0,7 Обычно не вызывает подозрений, по крайней мере, в контексте свойств, анализируемых MRC.
0,7–0,9 Довольно интересно. Может содержать вредоносные файлы с некоторыми намеренными попытками обфускации.
0.9 — 1.0 Очень интересно. Может содержать вредоносные файлы с преднамеренными попытками обфускации.
1.0+ Очень интересно. Часто содержит вредоносные файлы с преднамеренными попытками обфускации.

В дополнение к основному графическому интерфейсу сетки MRC предоставляет пользователю дополнительный интерфейс для проверки определенных частей исполняемого образца, которые были оценены MRC при вычислении совокупной оценки угрозы, присвоенной образцу, как показано на рисунке 7.53.

Рисунок 7.53. Изучение деталей файла в Mandiant Red Curtain

Заметки из подполья

Подземные инструменты

Существует ряд «подпольных» инструментов обнаружения обфускации, анонимные авторы которых упоминаются только под необычным прозвищем. Многие из этих инструментов содержат «приветствие» и «крик», подтверждающие признание других участников подполья или их признание. Как и в случае любого программного обеспечения непроверенного происхождения, проявляйте здравый смысл и должную осторожность при приобретении и применении этих инструментов. Хотя это и не всегда так, доступные инструменты, подобные этим, сами содержат вредоносный код! Всегда тестируйте только что приобретенный инструмент в безопасной изолированной среде, прежде чем применять его. Вот несколько таких инструментов.

Rdg

RDG (www.programmerstools.org/node/291), автор: RDGMax, предположительно из Аргентины, является единственным средством обнаружения пакетов и компиляторов на основе графического интерфейса пользователя исключительно на испанском языке. Существовали и предыдущие «взломанные» версии на английском языке, но часто эта версия размещается на более темных интернет-форумах.

Рисунок 7.54. RDG Packer Detector

Идентификатор защиты

Идентификатор защиты (http: //pid.gamecopyworld. com), написанный cdkiller, представляет собой сканер обнаружения упаковки на основе графического интерфейса для программ, относящихся к механизмам защиты компакт-дисков от копирования, а также для запутанных исполняемых файлов. Инструмент предлагает ряд опций, таких как «Контекстное меню», «Агрессивное сканирование» и «Интеллектуальное сканирование», но без дополнительной документации, описывающей их соответствующие функции.

Рисунок 7.55. ID защиты

Stud PE

Stud PE (http://www.cgsoftlabs.ro/studpe.html) — это мощный многоцелевой инструмент анализа PE, написанный «Christi G», который предлагает гибкую функцию идентификации сигнатуры упаковщика и дает возможность запрашивать подозрительный файл по встроенной или внешней сигнатуре. база данных.

Рисунок 7.56. Stud PE

В дополнение к PEid, PE Detective и MRC, есть несколько удобных инструментов на основе Python, что делает их расширяемыми и управляемыми из командной строки. Pefile, 63 , разработанный Эро Каррерой, представляет собой надежную утилиту для синтаксического анализа PE-файлов, а также средство идентификации упаковки. В частности, некоторые из его функций включают возможность проверки заголовка и разделов PE, получения предупреждений о подозрительных и искаженных значениях в образе PE, обнаружение обфускации файлов с помощью сигнатур PEid и создание новых сигнатур PEid.

Ресурсы в Интернете: Утилита Exe Dump

Чтобы понять, как работает pefile, отправьте исполняемый файл на портал утилиты Exe Dump по адресу http://utilitymill.com/utility/Exe_Dump_Utility и получите текстовый или html-отчет, содержащий результаты обработки файла с помощью pefile.

Джим Клаузинг, обработчик инцидентов SANS Internet Storm Center, написал аналогичный сценарий python для идентификации упаковщика PE на основе pefile, названный packerid.py. 64 Как и pefile, packerid.py является расширяемым и может работать как в среде Windows, так и в среде Linux, что удобно для многих пуристов Linux, которые предпочитают проводить анализ вредоносных программ в среде Linux. Кроме того, как и pefile, packerid.py можно настроить для сравнения запрашиваемых файлов с различными базами данных сигнатур обфускации PE, включая те, которые используются PEid 65 и другими, созданными Panda Security. 66 Результат packerid.py применительно к нашему подозрительному двоичному файлу можно увидеть на рисунке 7.57.

Рисунок 7.57. Проверка Video.exe с помощью packerid.py в системе Linux

Еще одна очень полезная утилита для обнаружения упаковщиков на основе командной строки — SigBuster, автор — Тони Койвунен из teamfurry.com. SigBuster имеет множество различных опций и возможностей сканирования и написан на Java, что делает его полезным в системах Linux и UNIX. В настоящее время SigBuster не является общедоступным, но доступен исследователям антивирусных программ и правоохранительным органам. Однако SigBuster реализован в песочнице для онлайн-анализа вредоносных программ Anubis 67 , где общественность может отправлять образцы для анализа. (См. Рис. 7.58.)

Рисунок 7.58. Проверка Video.exe с помощью SigBuster в системе Linux

Просмотреть главуПокупка книга
Читать главу полностью
URL: https://www.sciencedirect.com/science/article/pii/B9781597492683000074


Описание функции защиты файлов Windows

Резюме

В этой статье описывается функция защиты файлов Windows (WFP).

Дополнительная информация

Защита файлов Windows (WFP) не позволяет программам заменять важные системные файлы Windows. Программы не должны перезаписывать эти файлы, потому что они используются операционной системой и другими программами. Защита этих файлов предотвращает проблемы с программами и операционной системой.

WFP защищает важные системные файлы, установленные как часть Windows (например, файлы с расширениями .dll, .exe, .ocx, и расширение .sys и некоторые шрифты True Type). WFP использует подписи файлов и файлы каталога, созданные с помощью подписи кода, чтобы проверить, являются ли защищенные системные файлы правильными версиями Microsoft. Замена защищенных системных файлов поддерживается только с помощью следующих механизмов:

  • Установка пакета обновления Windows с помощью Update.exe

  • Исправления, установленные с помощью Hotfix.exe или Update.exe

  • Обновления операционной системы с помощью Winnt32.exe

  • Центр обновления Windows

Если программа использует другой метод для замены защищенных файлов, WFP восстанавливает оригинальные файлы. Установщик Windows придерживается WFP при установке важных системных файлов и вызывает WFP с просьбой установить или заменить защищенный файл вместо попытки установить или заменить сам защищенный файл.

Как работает функция WFP

Функция WFP обеспечивает защиту системных файлов с помощью двух механизмов. Первый механизм работает в фоновом режиме. Эта защита срабатывает после того, как WFP получает уведомление об изменении каталога для файла в защищенном каталоге. После того, как WFP получит это уведомление, WFP определяет, какой файл был изменен. Если файл защищен, WFP ищет подпись файла в файле каталога, чтобы определить, является ли новый файл правильной версией.. Если файл неправильной версии, WFP заменяет новый файл файлом из папки кэша (если он находится в папке кэша) или из источника установки. WFP ищет нужный файл в следующих местах в следующем порядке:

  1. Папка кеша (по умолчанию% systemroot% system32 dllcache).

  2. Путь сетевой установки, если система была установлена ​​с использованием сетевой установки.

  3. Компакт-диск Windows, если система была установлена ​​с компакт-диска.

Если WFP обнаружит файл в папке кэша или если источник установки определяется автоматически, WFP автоматически заменяет файл и регистрирует в системном журнале событие, подобное следующему:

Идентификатор события : 64001

Источник: Защита файлов Windows

Описание: Произведена попытка замены файла в защищенном системном файле c: winnt system32 имя_файла. Этот файл был восстановлен до исходной версии для поддержания стабильности системы. Версия системного файла — xx: xx

Если WFP не может автоматически найти файл в любом из этих мест, вы получите его из следующих сообщений, где file_name — это имя файла, который был заменен, а product — это продукт Windows, который вы используете:

  • Защита файлов Windows
    Файлы, необходимые для правильной работы Windows, были заменены нераспознанными версиями. Для поддержания стабильности системы Windows должна восстановить исходные версии этих файлов. Вставьте компакт-диск
    продукта .

  • Windows Защита файлов
    Файлы, необходимые для правильной работы Windows, были заменены нераспознанными версиями. Для поддержания стабильности системы Windows должна восстановить исходные версии этих файлов. Сетевое расположение, из которого должны быть скопированы эти файлы, \ сервер общий ресурс , недоступно. Обратитесь к системному администратору или вставьте компакт-диск
    продукт .

Примечание. администратор не вошел в систему, WFP не может отобразить ни одно из этих диалоговых окон. В этом случае WFP отображает диалоговое окно после входа администратора в систему. WFP может ждать входа администратора в систему в следующих случаях:

  • Запись реестра SFCShowProgress отсутствует или имеет значение 1, а сервер настроен сканировать каждый раз при запуске компьютера. В этой ситуации WFP ожидает входа в консоль. Следовательно, сервер RPC не запускается, пока не будет выполнено сканирование. В это время компьютер не имеет защиты.

    Примечание. Вы по-прежнему можете подключать сетевые диски, использовать системные файлы и использовать службы терминалов для входа на сервер. WFP не рассматривает эти операции как вход в консоль и продолжает ждать бесконечно.

  • WFP необходимо восстановить файл из общего сетевого ресурса. Эта ситуация может возникнуть, если файл отсутствует в папке Dllcache или если файл поврежден. В этой ситуации WFP может не иметь правильных учетных данных для доступа к общему ресурсу с сетевого установочного носителя.

Второй механизм защиты, предоставляемый WFP функция — средство проверки системных файлов (Sfc.exe). В конце установки в режиме графического интерфейса средство проверки системных файлов сканирует все защищенные файлы, чтобы убедиться, что они не изменены программами, которые были установлены с помощью автоматической установки. Средство проверки системных файлов также проверяет все файлы каталога, которые используются для отслеживания правильных версий файлов. Если какой-либо из файлов каталога отсутствует или поврежден, WFP переименовывает затронутый файл каталога и извлекает кэшированную версию этого файла из папки кэша. Если кэшированная копия файла каталога недоступна в папке кэша, функция WFP запрашивает соответствующий носитель для получения новой копии файла каталога.

Средство проверки системных файлов дает администратор может сканировать все защищенные файлы для проверки их версий. Средство проверки системных файлов также проверяет и повторно заполняет папку кэша (по умолчанию% SystemRoot% System32 Dllcache). Если папка кэша повреждена или непригодна для использования, вы можете использовать команду sfc/scanonce или команду sfc/scanboot в командной строке для восстановления содержимого папки.

SfcScan значение в следующем разделе реестра имеет три возможных значения:

HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows NT CurrentVersion Winlogon Параметры для значения SfcScan :

  • 0x0 = не сканировать защищенные файлы после перезапуска. (Значение по умолчанию)

  • 0x1 = сканировать все защищенные файлы после каждого перезапуска (устанавливается, если запускается sfc/scanboot).

  • 0x2 = сканировать все защищенные файлы один раз после перезапуска (устанавливается, если запускается sfc/scanonce).

По умолчанию все системные файлы кэшируются в папке кэша, а размер кеша по умолчанию составляет 400 МБ. По соображениям дискового пространства может быть нежелательно поддерживать кэшированные версии всех системных файлов в папке кэша. Чтобы изменить размер кеша, измените настройку значения SFCQuota в следующем разделе реестра:

HKEY_LOCAL_MACHINE Software Microsoft Windows NT CurrentVersion Winlogon WFP хранит проверенные версии файлов в папке Dllcache на жестком диске. Количество кэшированных файлов определяется настройкой значения SFCQuota (размер по умолчанию — 0xFFFFFFFF или 400 МБ). Администратор может сделать настройку значения SFCQuota сколь угодно большим или маленьким. Обратите внимание, что если вы установите значение SFCQuota на 0xFFFFFFFF , функция WFP кэширует все защищенные системные файлы (примерно 2700 файлов)..

Есть два случая, в которых папка кэша может не содержать копии всех защищенных файлов, независимо от значения SFCQuota:

  1. Недостаточно места на диске.

    В Windows XP WFP прекращает заполнение папки Dllcache, когда на жестком диске доступно менее (600 МБ + максимальный размер файла подкачки) свободного места .
    В Windows 2000 WFP прекращает заполнение папки Dllcache, когда на жестком диске доступно менее 600 МБ.

  2. Установка по сети .

    При установке Windows 2000 или Windows XP по сети файлы в каталоге i386 lang не помещаются в папку Dllcache.

Кроме того, все драйверы в файле Driver.cab защищены, но они не помещаются в папку Dllcache. WFP может восстановить эти файлы из файла Driver.cab напрямую, не запрашивая у пользователя исходный носитель. Однако при выполнении команды sfc/scannow файлы из файла Driver.cab попадают в папку Dllcache.

Если WFP обнаруживает изменение файла и затронутого файла нет в папке кэша, WFP проверяет версию измененного файла, которую в настоящее время использует операционная система. Если файл, который в настоящее время используется, является правильной версией, WFP копирует эту версию файла в папку кэша. Если файл, который в настоящее время используется, не является правильной версией или если файл не кэширован в папке кэша, WFP пытается найти источник установки. Если WFP не может найти источник установки, WFP предлагает администратору вставить соответствующий носитель для замены файла или кэшированной версии файла.

Значение SFCDllCacheDir ( REG_EXPAND_SZ ) в следующем разделе реестра задает расположение папки Dllcache.

HKEY_LOCAL_MACHINE Software Microsoft Windows NT CurrentVersion Winlogon Данные значения по умолчанию для значения SFCDllCacheDir — % SystemRoot% System32 . Значение SFCDllCacheDir может быть локальным путем. По умолчанию значение SFCDllCacheDir не указано в разделе реестра HKEY_LOCAL_MACHINE Software Microsoft Windows NT CurrentVersion Winlogon . Чтобы изменить расположение кэша, необходимо добавить это значение.

При запуске Windows WFP синхронизирует (копирует) параметры WFP из следующего раздела реестра

HKEY_LOCAL_MACHINE Software Policies Microsoft Windows NT Windows File Protection в следующий раздел реестра:

HKEY_LOCAL_MACHINE Software Microsoft Windows NT CurrentVersion Winlogon Поэтому, если значения SfcScan , SFCQuota или SFCDllCacheDir присутствуют в HKEY_LOCAL_MACHINE Software Policies Microsoft Windows NT Windows File Protection подраздел, значения имеют приоритет над теми же значениями в HKEY_LOCAL_MACHINE Software Microsoft Windows NT CurrentVersion Подраздел Winlogon .

Для получения дополнительных сведений о функции WFP щелкните следующий номер статьи в базе знаний Microsoft:

222473 Параметры реестра для защиты файлов Windows

Для получения дополнительных сведений о средстве проверки системных файлов в Windows XP и Windows Server 2003 щелкните следующий номер статьи, чтобы просмотреть статью в базе знаний Microsoft:

310747 Описание средства проверки системных файлов Windows XP и Windows Server 2003 (Sfc.exe)

Дополнительные сведения о инструмент проверки системных файлов в Windows 2000, щелкните следующий номер статьи, чтобы просмотреть статью в базе знаний Microsoft:

222471 Описание системы Windows 2000 Средство проверки файлов (Sfc.exe)

Для получения дополнительных сведений о функции WFP посетите следующий веб-сайт Microsoft:

http://msdn2.microsoft.com/en-us/library/aa382551.aspx Для получения дополнительных сведений об установщике Windows и d WFP посетите следующий веб-сайт Microsoft:

http://msdn2.microsoft.com/en-us/library/aa372820.aspx

Оцените статью
clickpad.ru
Добавить комментарий