[系统安全] PE文件知识在免杀中的应用

0x1 PE文件与免杀思路

基于PE文件结构知识的免杀技术主要用于对抗启发式扫描。
通过修改PE文件中的一些关键点来达到欺骗反病毒软件的目的。

• 修改区段名

1.1 移动PE文件头位置免杀

工具：PeClean

SizeOfOptionalHeader字段来描述扩展头的大小，恒定值为0xE0。
某些程序直接使用0xE0对PE文件进行处理，对于修改过的程序会被识别为非PE文件。

1.2 导入表移动免杀

通过修改程序里导入表ThunkValue值实现。

• 1）通过ThunkValue的偏移地址，找到API函数名
• 2）将原地址的API函数名移动到其他空白处
• 3）00填充掉原地址的API函数名
• 4）修改ThunkValue值为新移动的地址

1.3 导出表移动免杀

通过修改导入表中API函数名的相对偏移地址实现。

• 获取API函数名的RAV（相对虚拟地址）
• 将API函数名移动到新位置
• 将API函数名相对偏移地址填写回原先记录的地方

0x2 PE文件与反启发式扫描

其它非与PE文件相关的启发式扫描请参考第16章“免杀技术前沿”内容。

2.1 最后一个区段为代码段

启发特征：最后一个区段为代码段。这会引发“异常的入口点”。如果入口点被定位在了非正常的代码段上，则会被启发式扫描引擎查杀。

2.2 可疑的区段头部属性

蠕虫在感染一个文件时有三种方案，这些方案都要求会修改代码段具有可写属性。

• 1 增加一个新的可执行区段
• 2 现有的代码段中插入恶意代码
• 3 将恶意代码分别穿插到不同的区段中，并修改相应区段的属性

启发特征：一个正常的可执行程序如果出现多个具有可执行属性的区段，就会制造出这些特征。

2.3 可疑的PE选项头的有效尺寸值

启发特征：这一项启发特征是基于 “移动PE文件头免杀”建立起来的。用于试图修改选项头大小而隐藏更多敏感数据的恶意程序。

2.4 可疑的代码节名称

启发特征：如果产生了编译器厂商之外的区段名，则启发特征判定为恶意程序。

2.5 多个PE头部

启发特征：可执行文件中含有需要释放的DLL或者SYS。

注：一般情况下将其中包含的可执行文件加密即可避免出现这个特征。

2.6 导入表项存在可疑导入

启发特征：

• 无效导入表
• 偏移形式调用API
• 特定恶意行为的API序列

注：黑客一般会使用自己实现的GetProcAddresss函数，以便用散列值寻找并调用相关敏感API

0x3 隐藏导入表

隐藏导入表思路

• 简单异或加密
• 导入表单项移除
• 重构导入表
• 利用HOOK方式打乱其调用

3.1 操作原理与先决条件

原理：

• 1）手工将指定导入项的IAT(Import Address Table)删除掉
• 2）在启动初期用正确的值填充IAT

条件限制：

• OriginalFirstThunk字段是一个以0x00000000结尾的32位数组，将INT填充为0x00000000删掉后，
  会导致在此IAT项后面所有由此DLL导入的函数失效。

3.2 修改PE文件

简单的例子

3.3 构造我们的反汇编代码

没看懂RegisterClassExW的起始地址是怎么得到的。

0x4 小结

• PE免杀入门技巧

• 对PE免杀入门技巧的启发式扫描规则

• 反启发式扫描PE免杀技巧