@局外人
2年前 提问
1个回答

木马黑盒免杀后可能会留下哪些痕迹

007bug
2年前

通过黑盒手法处理过的很多的入口点都会或多或少地留下一些痕迹,包括:

  • 入口点不在第一个区段或在最后一个区段:这种情况一般发生在经过入口点免杀技术处理过的PE文件中。

  • 入口点处代码为“孤岛”状态:这种情况是指入口点在某个区段的空白区域中,前不着村后不着店,只在入口点附近有一小段代码的情况。经过免杀新手处理过的程序有时会出现这种情况。

  • 入口点在正常范围之外:因为编译器的编译优先级以及一些客观因素的存在,入口点在代码区段中的位置往往都是比较靠前的,也就是说其有一个大致的正常范围,凡是超过这个范围的应该就是被人为设定过的或被人为处理过的。

  • 入口点为一个无效的值:有些骇客在免杀时会将TLS的入口点设为程序真正的入口点,并将PE文件中描述入口点的字段设为一个无效的值。这样做不但可以保证程序能正常运行,还能避免反病毒软件的入口点查杀。因此当发现入口点指向的地址明显无效时,那么就应该判断此PE文件是否包含TLS结构,如果包含就应判断TLS的入口点是否符合特征,如果符合特征就应报毒。

  • 区段名重复或不属于正常范围:目前编译器编译出来的PE文件的区段名都遵循一定的规则,凡是不符合这些规则的PE文件必然是由人为因素导致的。通常情况下,应用程序被加壳或此程序被人做过二进制补丁都会留下这种痕迹。

  • 拥有可执行属性的区段数量过多:通常情况下一个PE文件拥有一个具有可执行属性的区段足矣,因此如果一个PE文件有两三个区段都具有可执行属性,那么显然这情况是不正常的。