軟件逆向分析在司法鑒定中的應(yīng)用

1、軟件逆向分析在電子數(shù)據(jù)司法鑒定中的應(yīng)用什么是逆向工程&起源灰盒測試動態(tài)調(diào)試靜態(tài)分析反編譯反匯編軟件逆向分析讓我們從案例開始背景介紹：“淘寶客”逆向分析的目的：通過分析樣本行為和 技術(shù)細(xì)節(jié)，進而挖掘作者信息，為進一步 分析提供條件說明：略過加載驅(qū)動，文件過濾、網(wǎng)絡(luò)過濾 技術(shù)的介紹，直接介紹該樣本的關(guān)鍵行為將用戶攔截、導(dǎo)向到指定頁面日感染量：1460淘寶客來源：金山毒霸解密注冊表信息及配置文件樣本將攔截的http特征字符串樣本對http流進行的替換樣本最終對用戶的影響樣本的行為分析該樣本內(nèi)部保存了一組殺毒軟件網(wǎng)站常用的HTTP特 征字串?dāng)?shù)組行為分析特征字符串當(dāng)樣本攔截到http請求以后,會 遍歷此

2、特征字符串?dāng)?shù)組,并檢查http請求是否符合殺毒軟件請求 的特征如果是，就用一個關(guān)閉http的請 求進行替換行為分析http攔截行為結(jié)論此樣本對殺毒軟件網(wǎng)址進行攔截，并修改http請求， 以達(dá)到阻止殺毒軟件正常訪問服務(wù)器或上傳樣本的 目的。該樣本在注冊表REGISTRYMACHINESYSTEMCurrentControlSetControl的 CurrentUserData鍵內(nèi)保存了購物 網(wǎng)站的配置信息,這個配置信息是 經(jīng)過加密處理的。行為分析發(fā)現(xiàn)加密的配置文件行為分析要攔截的網(wǎng)址特征字符串行為分析替換http請求替換請求并向下發(fā)送mm_30685818_3322984_10799476 mm

3、_30683801_3323295_10799945 mm_30685856_3322988_10799488 mm_30685904_3322997_10799506 mm_30685939_3323013_10799525 從樣本中提取到的淘寶PID所圈內(nèi)容就是被篡改的淘寶PID行為結(jié)果瀏覽器url被篡改該樣本在未得到授權(quán)的情況下，影響安全軟件的正 常工作，攔截并篡改用戶的http請求，尤其是目標(biāo) 為購物網(wǎng)站類的請求。其行為影響操作系統(tǒng)以及數(shù) 據(jù)的完整性、可控性和保密性，已經(jīng)滿足惡意程序 的鑒定條件。行為結(jié)論惡意軟件驅(qū)動特征分析配置文件名及路徑特征分析服務(wù)器地址/IP特征分析樣本特征及開發(fā)

4、團隊跟蹤驅(qū)動名稱和符號鏈接驅(qū)動符號和符號鏈接配置文件名和路徑有一個線程每隔6小時查詢注冊表REGISTRYMACHINESYSTEMCurrentControlSetControlNetwork 的AuthenticationD值.并進行解 密升級的URL及IP地址URL及IP定位經(jīng)解密得樣本的更新地址：xml.*.net:83/union/upload/27/27.ini升級的URL或IP地址該團隊擁有正在銷售的商業(yè)產(chǎn)品， 而且是自主開發(fā)的。根據(jù)其產(chǎn)品描述,是一款基于windows系統(tǒng)驅(qū)動開發(fā)的磁盤過 濾技術(shù)的*軟件,而該樣本應(yīng) 用了驅(qū)動技術(shù)。而且同樣有磁盤驅(qū)動.兩個程序的關(guān)鍵技術(shù)接近，說明

5、該公司具備開發(fā)此樣本的技 術(shù)條件。通過whois及搜索引擎挖掘域名信息開發(fā)團隊跟蹤鎖定目標(biāo)鎖定目標(biāo)分析結(jié)束了？To be continued驅(qū)動符號同源分析注冊表結(jié)構(gòu)同源分析解密函數(shù)同源分析URL服務(wù)器同源分析同源性分析另一個樣本，時間關(guān)系，略去行為分析兩樣本驅(qū)動和符號名稱一致驅(qū)動符號同源分析注冊表同源分析2個樣本自動升級的配置信息都加密存放在注冊表，而且結(jié)構(gòu)一致樣本1：REGISTRYMACHINESYSTEMCurrentControlSetControlNetwork下的AuthenTicationD子鍵和SecurityD子鍵樣本2：REGISTRYMACHINESYSTEMCurre

6、ntControlSetControlNetwork下的AuthenTicationD子鍵和SecurityD子鍵2個樣本在解密更新地址前,都壓入了同一字符串， 作為key樣本1 樣本2解密函數(shù)同源分析升級服務(wù)器URL同源分析特征樣本1樣本2創(chuàng)建設(shè)備名稱和符號鏈接攔截殺軟的匹配字符串表更新服務(wù)器地址解密特征字符串注冊表信息同源性對比相同幾乎相同且順 序一致幾乎相同“NsUrKey”“NsUrKey” 相 同服務(wù)器地址相同結(jié)論受益者信息一致或者具備某種關(guān)聯(lián)逆向分析后，得到的源碼極其一致，甚至連源碼里的錯誤 都一致逆向分析后，得到的注冊表名稱、內(nèi)核對象命名、有關(guān)的URL、SQL語句、提示信息等一致

7、某些編譯選項造成的信息泄露，如斷言、調(diào)試信息、工程 結(jié)構(gòu)信息等同源分析常用的參考依據(jù)SQL信息泄露調(diào)試信息泄露工程結(jié)構(gòu)泄露內(nèi)核對象名稱泄露有圖有真相常見的軟件信息泄露途徑SQL信息泄露調(diào)試信息泄露工程結(jié)構(gòu)信息泄露對象名稱泄露逆向分析在軟件領(lǐng)域有什么作用?逆向分析與不同領(lǐng)域結(jié)合，有不同作用防守攻擊信息加密信息解密加殼脫殼病毒防御病毒隱蔽和傳播漏洞修復(fù)和防范漏洞攻擊游戲安全外掛移動安全信息竊取電子數(shù)據(jù)取證取證對抗設(shè)計用戶認(rèn)證算法加密VS解密逆向分析得到算法原 理后,算法求解或篡 改代碼獲得授權(quán)加密VS解密得到算法原理逆向分析操作（求解、 篡改代碼）開始輸入密碼操作加密驗證出錯3次結(jié)束對可執(zhí)行文件內(nèi)

8、的代碼 和數(shù)據(jù)進行數(shù)學(xué)變換， 目的是減少體積（壓縮 殼）或者提高逆向分析 的難度（保護殼）加殼VS脫殼靜態(tài)脫殼、內(nèi)存Dump脫 殼加殼壓縮殼保護殼脫殼靜態(tài)脫殼內(nèi)存dump殼肉相連、關(guān)鍵代碼混 淆膨脹甚至虛擬化加殼VS脫殼開發(fā)針對性的輔助工具， 對混淆膨脹的代碼作出 優(yōu)化，對虛擬化的代碼 進行還原分析樣本，了解機制按 特征予以查殺技術(shù)炫耀型病毒感染，隱匿，爆發(fā)分析樣本了解機制按特征查殺多態(tài)變型，人工免殺技術(shù)炫耀型病毒擴大樣本俘獲渠道，主 動防御，行為判定，白 名單，虛擬執(zhí)行客戶端收集樣本，每個 用戶既是安全的受益者， 也是維護安全的參與者盈利型病毒傳播反虛擬檢測、對抗保護 軟件、社會工程、挾以

9、用戶的剛性需求發(fā)現(xiàn)漏洞，寫出 exploit，滲透目標(biāo)產(chǎn)品被動升級，提高開 發(fā)團隊安全意識漏洞攻防自動化Fuzz，產(chǎn)業(yè)化監(jiān)視或過濾畸形數(shù)據(jù)， 定位和分析漏洞利用原 因，安全服務(wù)型企業(yè)積 極和軟件廠商溝通游戲數(shù)據(jù)的篡改。以作 弊為目的針對游戲的關(guān)鍵數(shù)據(jù)進 行保護，或者截獲外掛 樣本后，分析其功能， 對癥下藥游戲攻防技術(shù)更加細(xì)分：內(nèi)存修改， 數(shù)據(jù)包修改，模擬玩家操 作等。保護同時也具備綜合性， 數(shù)據(jù)校驗，數(shù)據(jù)包加密，采用技術(shù)或者人工機制防 止程序模擬玩家等游戲攻防游戲外掛內(nèi)存修改數(shù)據(jù)包修改模擬玩家操作游戲安全數(shù)據(jù)校驗數(shù)據(jù)包加密防止模擬玩家操作技術(shù)對抗的同時，運用 法律武器游戲攻防行業(yè)更加細(xì)分：破解， 生產(chǎn)，盜號，私服以 盈利為目的尚屬起步階段，但是各 大安全廠商高度重視， 最終解決問題還得多方 通力配合信息竊取 VS移動安全攻擊方將會綜合應(yīng)用前述技術(shù)， 目的還是非法盈利。而且戰(zhàn)場可能會擴展到手機以外的設(shè)備 上，比如車載導(dǎo)航、取款機、 要害部門的門禁系統(tǒng)等移動設(shè)備上的流氓程序，目的是信息換取利益，