最後の部分で約束したように、バイラルエンジンの検討を続けています。 今回は、実行可能コードのポリモーフィズムについて説明します。 コンピュータウイルスの多態性とは、新しい感染ファイルごとに新しい子孫ウイルスコードが含まれることを意味します。 純粋に理論的には、アンチウイルスにとってこれは本当の悪夢を意味するでしょう。 新しい世代ごとにコードが100％変更され、真にランダムな方法でウイルスが検出された場合、シグネチャ分析では検出できませんでした。



おそらくどこかにそのようなコードを実際に書いたスーパープログラマーがいるので、それについて何も知らないのです。 私はこれを本当に信じていません。コンピューターシステムの仕事の数学的な正当化に関与する数学者は、そのような特定の多型アルゴリズムが存在しないことを証明できるようです。その結果は別の特定のアルゴリズムを使用して完全に検出できませんでした。 しかし、私たちは単純な人々であり、自分自身を変更するコードのアイデアに興味があり、「アルゴリズム対アルゴリズム」に照らして、実行可能コードを隠す方法とプログラマーの検出方法の反対は非常に興味深いはずです。

最初の記事を思い出して少し補足します

私は最初の記事から私たちのヒーローを思い出します：ウイルスメーカーとアンチウイルス会社のプログラマー、そして彼らのカルマティック双子：船外保護の開発者とクラッカーを彼らに取り付けます。 前者は実行可能コードとそれに関する情報を隠そうとし、後者は特性コードとその内部アルゴリズムにアクセスしようとします。 ウイルスの分野では、自動方法（ウイルスエンジンおよびアンチウイルス検出器）が普及しています。保護の手動方法の分野では（ヒンジ付き保護の設定は手動で制御されます。補助ソフトウェアが豊富であるにもかかわらず、ソフトウェアを破壊するプロセスも手作業です）。



最初の記事の結果によれば、実行可能ファイルに正しく感染できるウイルス（つまり、それ自体で動作し、ファイル自体のコードを正しく実行できるウイルス）と、ウイルスがファイル上の厳密に定義された場所にあることを知っているアンチウイルス検出器があります。特徴点からある程度の距離（エントリポイントから、セクションの先頭から、ヘッダーの末尾まで）に、このウイルスを特徴付ける一定のバイトセットがあります。 また、この記事が「ウイルスの悪い点」に関する議論に入らないように、ペイロードウイルスが何もしないことに同意しましょう。 そのため、問題のコードのアクションの性質に関するすべての議論を除外し、検出と非表示の方法に焦点を当てることができます。



最初の記事を思い出し、補足し続けます。 ウイルスとアンチウイルスに対抗するスキームは、商業プログラムをハッキングするという観点から類推して考えることができます。 感染の代わりに、実際のプログラムはここで動作し、実行可能ファイルの保護を「ハング」させます。 プログラム自体のコードを「ネタバレ」し、その回復に必要な情報を本体に隠します。ウイルスと同じトリッキーな方法で、その作業のアルゴリズムを隠します。最初にセキュリティコードを実行し、シリアル番号または試用期間、その後、メインプログラムを「修正」し、制御を移します。 次に、クラッカーはアンチウイルスの役割を果たし、内部保護コードにアクセスしてアルゴリズムを見つけようとします。 彼は、コードの特徴的な部分を見つけて（保存して）、平均と同じことをしていることがわかりました。 唯一の違いは、クラッカーがすべての元のコードを取り出して、そこから実行可能なファイルを作成することであり、averはその中から特徴的な部分を見つけて署名を作成します。



この保護を解除する最も一般的な方法は、メモリ内のプログラムイメージをディスクにダンプすることです。 クラッカーは、保護が機能し、解読され、メインプログラムが「修復」され、このメインプログラムのコードの作業イメージがメモリ内にある瞬間を探しています。 実際、彼は、保護されたプログラムの「古い」エントリポイントである、いわゆるOEP（オリジナルエントリポイント）でプログラムを停止する機会を探しています。 この時点で、メモリ内のイメージをディスクに保存できます。 もちろん、それは動作しませんが、OEPを指すように実行可能ファイルのエントリポイントを「再構成」することで修復できます。その時点でプログラムが動作している場合、そのようなイメージは保護をスキップするだけで機能します（さらに多くの操作があります）外部関数の呼び出しの復元、プログラムが完全に復号化されていない場合の複数のダンプ、および一般に、これは多数の記事のトピックですが、主な原則はそれです）。 別の一般的な方法は、シリアル番号を生成するコードを見つけて、可能であればそれを噛み、有効なシリアル番号（keygen）を生成する小さな実行可能ファイルを作成することです。 以下で説明するように、同様のアクションコースは、ウイルス対策ディテクタのことです。



私はまた、生物学的システムとの類似性を引き出すのが好きです。これほどあなたに負担をかけないようにします。 人工知能と人生をすぐに見たいです。

逆アセンブラーとデバッガー

実行可能コードの保護範囲を検討するには、彼らの仕事の基本原則を理解することが重要です。 この記事を読んだら、おそらくこれについて何か知っているでしょうが、とにかく-少し許容するか、このセクションをスキップしてください。



逆アセンブラは、実行可能ファイルまたはコード付き抽象バッファのいずれか、および非常に重要なこととして、逆アセンブルを開始する最初のアドレスを受け入れます。 実行可能ファイルの場合、これはたとえばエントリポイントです。 逆アセンブラは、最初の命令へのポインタを置いて、命令が何であるか、バイト単位の長さ、ジャンプ命令かどうか、使用するレジスタ、参照するメモリ内のアドレスなどを決定します。 命令がジャンプ命令ではない場合、逆アセンブラはポインタを命令の長さまで前方に移動することにより、次の命令に進みます。 無条件のJMPまたはCALLの場合、逆アセンブラは次の命令ポインタをジャンプアドレスが指す場所に移動します。 これが条件分岐（JZ、JNAなど）である場合、逆アセンブラーは次のアドレスを一度に2つのアドレスにマークします。次の命令のアドレスと遷移が可能なアドレスです。 バイトの組み合わせが認識されない場合、このブランチの逆アセンブリプロセスは停止します。 また、逆アセンブラーは、どの命令がこれを参照するかに関する情報を格納することに注意する必要があります（！）。これにより、関数呼び出しを定義でき、最も重要なのは、誰がそれらを呼び出すかです。



逆アセンブラは、バイトシーケンスを、命令の各バイトに関する情報を格納する多重接続構造のシーケンスに変換します。特定のバイトがオペコード（オペコード）の一部であるかどうか、データ、アドレス、どこから遷移するかなど。 各構造には、次の構造の1つまたは2つへの参照を含めることができ、同時に任意の数の他の構造によって参照されるオブジェクト（たとえば、何度も呼び出される最初の関数命令）にすることができます。 また、スマートな逆アセンブラーは、スタックポインターをたどったり、次のように分解するためにそのような構造を認識して正しくマークすることができます。mov eax、0x20056789; eaxを呼び出します。 さらに、一連の命令で特徴的な機能を認識し、手動で分解するための開始点を設定し、個々の命令にコメントし、分解の結果をディスクに保存します。 呼び出しのグラフを作成して構造をマークする操作は非常に高価ですが、1つのファイルを数日間混乱させることができます。 しかし、前に検討したように、ファイル内のディスクで遷移が暗号化されたバッファーにつながる場合があり、この場合、逆アセンブラーは命令から混乱を生成するか、停止します。 この場合、この暗号化されたバッファをランタイムで直接取得する必要があります。メモリ内でオープンになっている場合、デバッガが必要です。



デバッガの主なタスクは、プログラムを最も興味深い場所で停止することです。 これを行うにはいくつかの方法があります。 プロセスメモリを開くことができ、いずれかの命令の代わりにint 3を入力します-この場合、この命令を実行するプロセッサは例外をスローし、デバッガはそれを処理し、ウィンドウを開き、元の命令を復元し、このメモリ領域の内容を表示します プロセッサでトレースフラグを有効にすると、プロセッサは各命令でこの例外をスローします。 最後に、プロセッサにはデバッグレジスタがあり、そこにいくつかのアドレスを入れることができ、このアドレスでメモリにアクセスしたプロセッサは停止します。 そのため、たとえば、暗号化されたバッファーの開始アドレスにアクセスするようにブレークポイントを設定することにより、解読者が最初に解読を開始してバッファーの最初のバイトを読み取り、2回目に制御を渡します。 この時点で、バッファの内容をディスクに書き込み、逆アセンブラをディスクに設定して、そのすべての秘密を見つけることができます。 高度な防御では、プログラムの完全な動作コードがメモリにあるような瞬間はありません。コードの一部は必要に応じて断片的に復号化されます。 これらの場合、リバーサーはダンプを断片的に収集する必要があります。

コード探索保護

実行可能コードを研究から保護するというトピックは、12件の記事に値するため、この問題の枠組みの中で、いくつかの点についてのみ説明します。 調査からの静的コード保護は、実行可能コードを難読化し、コードの重要なセクションでバッファーを暗号化し、その後実行時に復号化するさまざまな方法です。 コードの難読化は、コードを難読化する特別なコンパイラーを使用して実装でき、暗号化は、以下で説明するポリモーフィックエンジン（コードの観点からの商用保護を含む）を使用して実行できます。



動的保護とは、プログラムが実行中にデバッグされているかどうかを判断し、この点で何らかのアクションを実行できることを意味します。 たとえば、独自のコードでバッファーを読み取った場合、プログラムはそのチェックサムを参照コードと比較できます。また、デバッガーがint 3をコードに挿入した場合（上記を参照）、他の方法でコードがデバッグまたは変更されていることを理解できます。 しかし、おそらく、デバッグされているものを理解するための最も信頼性が高く移植性の高い方法は、コードの特徴的なセクションの実行時間を測定することです。 意味は簡単です。バッファ内の命令間の時間（秒、オウムまたはプロセッササイクル）が測定され、特定のしきい値を超える場合、プログラムは途中で停止しました。 保護は、デバッグされていることを認識して、たとえば、内部でその逆が停止する可能性のあるブランチを無視し、愚かには動作しませんが、ウイルスはシステムから自身を削除します。 このような状況に対処するために、リバーサーは簡単に再現できる制御された環境で動作します。たとえば、BIOSパラメーターまで、すべてを再現できる仮想マシンなどです。 したがって、ウイルスまたは保護コードを調査する場合、プログラムは調査の事実を非常によく検出し、悪いことをすることができることを覚えておく必要があります。

ポリモーフィックエンジンまたは「コードが小さく、エンジンが強い」

ウイルスエンジンに戻ります。 DOSの開発のある時点で、当時のメガ関連のパッカーが大量に出現した後、プログラマーはファイルに加えて、パッケージ化されたすべてのものをパックし始めました。 「.exe」ファイルは多くのスペースを占有し、そのようなファイルのかなりの部分は、バイトグループの頻度の安定した分布を備えた実行可能コードであり、おそらく正しいアルゴリズムによって十分に圧縮されています。 したがって、ポリモーフィックエンジンへの最初のステップはパッカーでした。



パッカーの原理は非常に簡単です。

1. 実行可能コード（たとえば、コードセクション）を含むバッファーを使用します。
2. それをパックします。
3. アンパッカーの位置的に独立したコードを取得し、パックされたコードでバッファーの先頭と末尾の正しいアドレスで補完します。
   
   
4. アンパッカーの最後にOEP（アンパックされたコードの最初の命令）への遷移を追加します。
5. アンパッカーとバッファを圧縮コードとともに実行可能ファイルに配置します（セクションやEPのサイズを修正します）。

結果のファイルは、元のファイルよりもサイズがはるかに小さくなります。 100MBの容量を持つ最もクールな新しいハードドライブが登場した後、これはそれほど重要ではなくなりましたが、パッケージングは​​viremakerと保護開発者に多くの新しい機会をもたらしました。

• ウイルスのサイズ（最もクールな100Mbのハードドライブにもかかわらず）は依然として重要です。 ペイロードコードが大胆で多機能である場合、特にファイルの最後に新しいセクションを追加するよりも何かが巧妙に使用されている場合、ウイルス全体をファイルに詰め込むことがより困難になります。 パッケージングを使用すると、大きくて複雑なウイルスコードのほぼ全体を、元のサイズよりも数倍小さいバッファにパックできます。
• パックされたコードを含むバッファは、実行フラグのあるセクションに配置する必要はありません。 高度な感染者にとって、これは非常に重要な要素です。ウイルスの本体はどこにでも安全に配置できるためです。 解凍後、解凍プログラムは、コードが解凍されたメモリ領域で実行が許可されていることを確認する必要があります。 そのため、メモリアクセス属性（すべての種類のVirtualProtect、VirtualProtectEx、VirtualOuery、VirtualQuervEx）を操作するWindows APIが常にヒューリストの注意を引きます。
  
  
• さて、デザートの場合、最も重要なこと-パックする代わりに、またはその後に、コードを含むバッファを暗号化し、キーをアンパッカーに入れることができます。 これで、アンパッカーではなく、記述子になります。 新しい感染（または実行可能ファイルに対する保護のハング）が発生するたびに、コードを含むバッファーを新しいキーで暗号化でき、コードを含むバッファーは完全に新しいコンテンツになります（もちろん、優れた暗号化アルゴリズムを使用）。パッケージ化されていますが、暗号化プロセスにパッケージ化を含めることができると思います。
  
  

さて、実際には、これは最初のポリモーフィックエンジンです。 おおよその感染アルゴリズムをさらに詳しく説明します。

1. 新しい暗号化キーを生成します。
2. デクリプターコードを取得します（場所と方法-後で説明しますが、最も簡単なケースでは、完成したコードを体から取得します）。
3. 新しい暗号化キーを（復号化コードで）挿入します。
4. 被害者ファイルからコントロール転送を注入し、ウイルスコードに戻します（コードはまだ暗号化されていません）。
5. 新しいキーのコードで大きなバッファを暗号化します。
6. 複雑なことではありませんが、暗号化されたバッファを被害者ファイルに配置します（以前のバッファとは大幅に異なるため、多くを隠すことはできません）。
   
   
7. 復号化プログラムの最後に、暗号化されたバッファの先頭に遷移を追加します。
8. unningなことに（可能な限り）、被害者ファイルに復号化プログラムを配置します。

何が起こったのか見てみましょう：ウイルス（暗号化されたバッファ）のほとんどはファイルごとに完全に変化し、小さな復号化プログラムのみが変更されないままです。 この復号化プログラムには、実際には複数のアドレス（ファイルごとに異なる）、復号化キー（変更も含む）、および復号化コード自体が含まれています。 ウイルス対策は今、一生懸命働かなければならず、このウイルスに特徴的なパターンは暗号化されたバッファ内に隠されており、今では署名のコードの一部を復号器で検索する必要があり、それは小さく、コードとデータの特徴の少ない部分を含んでいます。



このタスクの簡素化により、より高度なポリモーフィックエンジンが出現しました。感染すると、復号化コードのみが変更されます。結局、ペイロードコード全体よりも小さなコードを処理する方がはるかに簡単です。 うれしそうなvirmakerと防衛開発者は手をこすり、小さな解読者をより巧妙に隠す方法を学びます。そして、嫌悪者とクラッカーは逆アセンブラーを修復します。

ウイルスエンジンの進化

現在、Averは署名の作成にもう少し時間を費やしています。 特徴的なセクションが少ない少量のコードで作業する必要があります。 また、virmakerは、比較的単純な内部アルゴリズムを使用した比較的小さな暗号解読器の突然変異にのみ関心があり、検出器からそれを非表示にするタスクは、より現実的です。 アンチウイルスが固定オフセットで署名を比較すると、virmakerは最初にさまざまな方法で復号化コードをシフトし、それに応じてその中の特徴的な署名を信用しようとします。

NOPゾーンまたは「キャリー」

脆弱性の悪用からウイルスにもたらされた最初の簡単なトリックは、NOPゾーンでした。 攻撃者が脆弱性の悪用に成功し、プロセッサを指定されたアドレスにジャンプさせることができたが、メモリ内のシェルコードの場所の正確なアドレスが不明な場合、攻撃者はこれを行うことができます：悪用コードの前の多くのスペースをNOPで埋めます：

addr1: nop nop ;...    NOP- nop addr2: jmp addr3; shellcode pop esi; shellcode xor edx,edx shellcode ;...
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

これで、「そこのどこか」でNOPゾーンに移行できます。 メモリ内のおおよその位置のみがわかっている場合、この手法を使用すると、シェルコードを正常に実行できます。



また、簡単な方法で復号化プログラムを操作し、感染中に長いNOP行の異なる場所に配置することもできます。 また、一部の場所（移行を中断しない場所）では、これらのNOPを直接コードに詰め込むことができます。 この場合、すべてが正常に機能しますが、特性シグネチャの変位は常に異なります。 もちろん、移行指示のオフセットは再集計する必要があります。

ソリューションを自由に使用しても、「署名の計算時にすべてのNOPをスキップする」という記号をデータベースに追加しただけでは気になりませんでしたが、この小さな手順は、検出器が初めてバイトではなく命令を考慮し始めたため、非常に注目に値します。 しかし、それについては後で。

順列または「なんとか折りたたむ」

解読者コードを壊すことなく、署名によって比較の信用を落とす方法を考えると、wirmakerは順列の考えになります。 順列は、新しい世代ごとのコードブロックの順列です。 コードは多数のブロックで構成され、これらのブロックはウイルスの新世代ごとに再配置され、JMPによってリンクされます。 いつものように、すべてが紙の上で簡単であり、問​​題が実装され始めています。 ブロック内には、条件付きおよび無条件の遷移と関数呼び出しがあります。したがって、そのような論理ブロックはそのままでなければなりません。 同時に、ブロックが厚いほど、結果のデクリプターのばらつきが少なくなり、ブロックサイズが小さくなると、より多くのトランジションを追加する必要があり、デクリプターコードが大きくなり、整合性を維持するのが難しくなります。 たとえば、ブロックの長さを揃えるには、NOPゾーンを使用できます。



アルゴリズムの例を次に示します。ウイルスの本体に、マークアップ（ブロック番号とその長さ）を備えた既製のブロックセットを格納します。 次に、ランダムブロックを取得してバッファに書き込み、前のブロックの最後でJMPを編集します。 最初のブロックでJMPを使用して結果を補完し、ランダムに再配置されたブロックを持つバッファーの準備ができました。 前のゲームとは異なり、これは無条件の遷移によるものではありますが、新しい世代ごとに十分に深刻な要求ですが、ディスプレイスメントの観点からはまったく異なるコードを生成します。 ヴィルメーカーは満足した笑顔で眠りに落ちる。

	[ブロック1]	[ブロック2]	[ブロック3]	[...]	[ブロックN]
[jmpブロック1]	[ブロック2] [jmpブロック3]	[ブロック1] [jmp block2]	[ブロック3] [jmpブロック4]	[...]	[ブロック4] [jmpブロック5]

エイバーズが目を覚ます。 ウイルスのいくつかの世代のコードをトレースすると、解読者がブロックの順列を処理し、可能であればパフォーマンスを損なうことなく検出器を変更する必要があることを理解しています。 彼は、指示に従って実行し、ジャンプ命令でのみ停止し、ジャンプアドレスを計算し、ジャンプアドレスにある命令の分析に進むことができる、迅速な自動逆アセンブラーを作成することにしました。



ウイルス対策データベースには、エントリポイントから開始し、指示に従って、発生したJMPに応じて移行を行い、N個の指示を渡した後、署名を比較するという指示があります。 署名が10番目のブロックにある場合、条件付き遷移（JZ）が内部で可能な場合は、10番目の遷移に移動する必要があります。条件付き遷移は、次の命令と遷移アドレスへの2つの遷移と条件付きで考慮することができます。 もちろん、誰もキャンセルせず、検出はより簡単です。たとえば、ウイルスのブロックが固定長Lを持ち、それらのNがある場合、変位[0、（1 * L）、（2 * L）、...、 （（N-1）* L）]。



逆アセンブラを使用して、検索プロセスの複雑さを推定します。 逆アセンブラは、命令の長さを決定し、VA（仮想アドレス）をRVA（相対仮想アドレス）（ファイルのオフセットでJMPで指定されたアドレス）に変換するための最小値を提供する必要があります。 命令の長さの決定は、原則として、かなり高速なアルゴリズムです（配列要素にアクセスし、対応する配列要素に書き込まれたフラグに基づいて次のステップを計算します）。アドレス変換は、どのセクションに属するかに関する情報に基づいてアドレスを追加する基本的な操作です住所 さらに、たとえば次のような、通常のJMP next_block_addressを置き換える安価なトリックを決定するのは少しクレイジーです。

  XOR eax,eax; JZ next_block_address; ;  PUSH next_block_address; RET; ;  MOV eax, next_block_address; CALL eax;
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

これらはパフォーマンスの点ではそれほど怖いアルゴリズムではありませんが、それでも、これは与えられたオフセットで短い行からCRC32を計算するようには見えません。怒っているテスターは、検出器が深夜にテストベースを噛み、プロセッサ全体を飲み込んでいると誓います。



いつものように、何かがオンになっているのに速度が低下する場合は、それを最適化するか、必要なくオンにしないようにする必要があります。 最初の方法は悲しいことに転がりません-単純な逆アセンブラーではあまり最適化できないため、すべてのウイルス対策ソフトの好みの場所であるヒューリスティックアナライザーに移動します。

ヒューリスティックアナライザーまたは「ショーダウンが表示されます」

最初の記事では、すでにヒューリスティック分析に触れました-実際、コードにファイルが挿入されたことをさまざまな程度の確実性で示す兆候があります。 そして、それらのいくつかは疑わしいものを本当に強調しましたが、ファイルの感染の100％事実を宣言する権利を引き出せませんでした。 それから彼は単に彼らにコメントした。 それらに多くの時間を費やし、それらを削除するのは残念でした。 今、それらに基づいて、逆アセンブリ、ファイル分析を使用して、より重いものを実行するかどうかを決定できます。



もう一つ問題があります-なぜなら ヒューリスティックは疑わしいものすべてに対応します。商業保護は彼に対する純粋な関心を呼び起こすので、一般のヒンジ付き保護の下で署名データベースに数百の「白い」ものを作成する必要がありました。 それらのおかげで、通常はさまざまな商用ソフトウェアを通常どおり起動できます。 また、実行可能コードを操作する方法を使用する独自のソフトウェアを作成する場合、リリース前にvirustotalのどこかにあるすべての一般的なウイルス対策プログラムでプログラムのすべてのファイルを実行すると便利です。 人気のないものについてはあまり心配することはできません。ヒューリスティックアナライザーはシグネチャデータベースと同じくらい簡単にドラッグすることが難しく、人気の低いウイルス対策ソフトのアナライザーが長年開発されてきたものと同じくらいクールになることはほとんどありません。

もちろん、一般的な保護の下でウイルスを偽装しようとするvirmakerの試みについて言及する価値があります。 このためには、署名自体が必要であり、必要なバイトを配置する場所を理解するためにアンチウイルスデータベースの解析を開始し、アンチウイルスがウイルスを保護に使用できるようにします。 とにかく、次のバージョンのウイルスを作成する場合、現在のバージョンを検出するコードを知っておくといいでしょう。 そのため、アンチウイルスデータベースもリバースエンジニアリングの対象であり、検出器コードもvirmakerによって分析されます。

ただし、ヒューリスティックアナライザーに戻って、いくつかのヒューリスティックな兆候を示します。

• 書き込み用に開いているセクションへのエントリポイント（rwx）。 制御が即座に転送されるオープンで書き込み可能な実行可能セクションは、自己変更コードの存在を示す可能性が高く、そのようなセクションはほとんどの場合、ウイルスやソフトウェア保護によって使用されます。
• エントリポイントでの移行手順。 エントリポイントにジャンプ命令を配置することに特別な意味はなく、そのような記号はファイル内に自己修正コードが存在することを示します。
  
  
• セクションの後半のエントリポイント。 セクション拡張子を使用するウイルスは通常、セクションの最後にあります。 これは通常のファイルでは一般的ではないため、この状況は疑わしいものです。
  
  
• タイトルの内訳。 感染後のヘッダーの一部の変更により、ファイルは動作可能になりますが、ヘッダー自体には、リンカーが許可しなかったエラーが含まれています。 これも疑わしいです。
• 一部のサービスセクションのカスタム形式。 実行可能ファイルには、たとえば.ctors、.dtors、.finiなどのユーティリティセクションがあります。 これらのセクションの機能は、ウイルスがファイルに感染するために使用できます。 そのようなセクションの形式の違反も疑わしい。
• ...そして他の百のそのような兆候

このような兆候は数多くあり、危険度は異なります。一部は他との組み合わせでのみ危険になりますが、これは、より徹底的な分析の必要性と感染の事実を判断するための強力なツールです。 ヒューリスティックをバイパスすることは非常に困難です（警告を出さないようにすることを意味します）。 これは、特定のコンパイラーまたはフレームワークの機能を使用するプラットフォーム固有のソリューション（標準のコンストラクターまたはデストラクタの書き換えなど）がすぐに発見的ベースに陥るか、コードを実際にファイルに正確に配置できる非常に大きく複雑なインフェクターを使用するかのいずれかです。



ヒューリスティックな兆候が「ファイルは100％感染している」と言っているが、重い分析では何も見つからなかった場合、ウイルス対策プログラムは、「Generic Win32.Virus」または何らかの方法で「Some kind of Win32 Virus」などの名前のウイルスに感染していると書き込みます。 このようなメッセージは、多くの場合、あらゆる種類のkeygen、ローダーなどで見つけることができます。 前回の記事で、海賊版ソフトウェアのインストール手順に「インストール前にウイルス対策を無効にする」と書かれているのはこのためだとすでに述べました。 また、アンチウイルス企業の最も重要な情報資産の1つである、アナライザーをテストできるようにするために十分な量の実行可能ファイルのコレクションに再び注意を向けたいと思います。当然、そこに追加される正当なファイルに急ぐバージョンをリリースすることを恐れることはありません。 気分を害したkeygenとローダーは、それらがすぐに追加されないことをprobablyしますが、誰がそれらを聞いているのか、ウイルス...



そのため、発見者はヒューリスティックに取り組み、次の一般的な検出アルゴリズムに到達しました。

1. 通常の署名検索でファイルを確認してください。
2. 成功した場合は、ファイルが感染していると考えてください。
3. 「白」の保護が見つかった場合は、静かに終了します。
4. ヒューリスティックアナライザーでファイルを確認します。
5. 兆候が見つからない場合は、終了します。
6. 十分な重量の証拠が見つかった場合は、分解を使用して分析を実行します。

さらに、ヒューリスティックな兆候が感染について話すほど深刻な場合は、アナライザーが何かを見つけたかどうかに関係なく、感染したファイルを検討してください。



多くの作業が行われ、現在、ウイルス対策プログラムは脅威を特定していませんが、非常に高い信頼性で感染の事実を認識します。 実行可能ファイルのテストデータベースのサポートにより、新しい感染アルゴリズムが出現するとすぐに新しいヒューリスティックな兆候を安全に追加でき、最終的に、ウイルス対策は新しい感染が広がる前に脅威に対応できます。 世界のすべての実行可能ファイルに対するウイルス対策の以前のテストが完全に非現実的に思えた場合、WWWのすべての実行可能ファイルのデータベースはもはや幻想的ではないことに注意してください。 実行可能ファイルは深刻な時間コストを必要とするものであり、世界ではそれほど多く生成されません。 さらに、この巨大なファイルのデータベースでのテストは簡単に並列化できるため、可能性のある膨大なデータの配列に対してヒューリスティックをトレーニングするのは非常に現実的です。 ハッピーエイバーは彼のココアを飲んで寝ます...

「ミュータントは進歩しています。」 変成

今回、ウイルス作成者は、既存のコードを操作するのではなく、新しい世代ごとに新しい復号化コードを生成することを決定します。 これは変容です。新しい世代ごとに新しいコードが生成されます。 この場合、順列とは異なり、コードは単に内部のブロックを再配置するだけでなく、実際にその内容を変更します。 理論的には、これはウイルスの正確な検出に対するvirmakerの無条件の勝利を意味するはずです（誰もヒューリスティックをキャンセルしませんでした）。 これで、ウイルスの1つの世代に対して作成された署名は別の世代には無関係になり、ウイルスを検出し続けたとしても、次世代の操作性は保証されません。



変成ジェネレータとは何ですか？ 新しい世代のデクリプターを生成する基礎は一種の「基本コード」であり、それがどの言語で書かれているかは重要ではありません。 暗号化されたウイルスの本体内に保存されるため、永続的です。 ウイルスの本体には、この「基本」コードの各命令に基づいて、毎回新しい実行可能なコードを生成するエンジンがあります。 これはコンパイラに非常に似ています-入力にはいくつかのセマンティック構造があり、出力にはプロセッサによるコードの実行準備ができています。 基本コードに基づいた別の同様の実行可能コード生成は、仮想マシンで発生します-仮想マシンが特定のプラットフォームで準備されたバイトコードを実行する瞬間に。 この時点で、「基本」バイトコードがこのプロセッサが理解する特定の実行可能ファイルに変わります。 また、新しいプラットフォームがそれぞれ新しい世代のコードと見なされる場合、異なるプラットフォーム用の仮想マシンのセットは変身ジェネレータです。



いつどこで実行されるか（システムコールを含まず、保存された状態にアクセスせず、複雑なオブジェクトを含まない）可能な限り独立した記述子コードを生成し、既知のオフセットでメモリ内の既製のデータを処理することを思い出すと、その後、タスクは非常に解決可能なようです。 入力では、ジェネレータには3つの主要なパラメータがあります-暗号化されたバッファのアドレス、その長さ、およびキー。 さて、あらゆる種類の定数、将来のキーなどの擬似ランダム生成のための別のシードがあります。 デクリプターには条件付き遷移も含まれていますが、その本体内にのみ含まれているため、タスクが若干簡素化されます。

ごみの発生

virmakerは、多くの不必要な命令の生成を使用して問題にアプローチし、その中の真の復号化コードを「攪拌」することを決定します。 元の命令が変更されていない場合でも、他の命令のヒープ上の署名によって比較に必要なものを分離することは非常に問題になります。 ガベージジェネレーターは、非記述子名にもかかわらず、ガベージまたはガベージではないため、変成エンジンの最も複雑で興味深い部分ですが、それ自体を壊さず、デクリプターのメインコードを損なわない実行可能コードを生成する必要があります。 「混練」のプロセスでは、それが必要になります。



-特性点のシフト（遷移のアドレス、サイクルからの退出など）を監視します。

-ジャンクコードが必要なレジスタとフラグのレジスタを損なわないようにしてください。



ガベージ命令のタイトルの魅力的な候補は、あらゆる種類のMMX、SSE、浮動小数点命令であり、必要に応じて簡単に生成できます。主なことは、スタックに触れず、復号化器に必要なフラグを壊さずに汎用レジスタに書き込み、最初の変成コードが見えることですこのように：

  mov ecx, 100h; ;  lbl0: mov eax, [esi + ecx] ;  xor eax, edi ;  mov [ebx], eax ;  add ebx, 4h ;  movd mm0,edx ;  movd mm1,eax ;  psubw mm1,mm0 ;  lbl1: jcxz lbl2 ; ,    psubw mm1,mm0 ;  movd mm3,ecx ;  jmp lbl0 ; ,   lbl2: sub ebx, 100h ; 
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

Averはあまり心配していません。 それにもかかわらず、ヒューリスティックは感染したファイルを宣誓し続けます（ジェネレータで作業している間、virmakerは深刻な感染者を悩ませることを嫌がります）が、特定のウイルスを正確に特定することはできなくなりました。 したがって、暗い夜に、エイバーはヒューリスティックに向かない感染者を夢見て、彼の執着心は100％の精度で爬虫類を検出する必要になります。 ウイルスを正確に識別するには、検出器をさらに開発する必要があります-エントリポイントから開始して、指示に従い、すべてのガベージをスキップし、分析されたガベージに重要なもののみを追加する必要があります。これは、ディテクタの逆アセンブラが成長し始めることを意味します。 順列段落のNOPゾーンについて覚えている場合、実際には、署名の比較のためにバッファーを埋めるときにNOPをスキップすることがショットへの最初のアプローチです-検出器はガーベッジ命令のようなNOPをスキップします。 今では、0x90（NOPオペコード）と比較する代わりに、逆アセンブラーを使用しています（高速であるほど良い）。

1. ポインターを次の命令の先頭に移動します（長さ逆アセンブラー）。
2. この命令がガーベッジ（NOP、MMX、SSEなど）かどうかを示します。
3. 重要な指示が分析されたバッファに追加されます。
4. 無条件遷移の場合、遷移アドレスを分析中の次のアドレスとしてマークします。
5. 条件分岐の場合、さらなる分析のために両方の可能なコード分岐をマークします。

したがって、averは復号化者のメインコードを構成する命令からバッファを収集し、すでにその中に署名による比較を実行できます。 これはまだかなり簡単な手順ですが、プログラミングする際に、「ごみの指示を重要な指示と常に区別できますか？」と心配する人がますます増えています。 今、彼はコンテキストを保存するための指示で助けを求めています：pushad / popad（スタックからすべての汎用レジスタを置くか取得する）とpushfd / popfd（フラグレジスタについても同じです）。

 <pre> mov ecx, 100h; ;  lbl0: mov eax, [esi + ecx] ;  xor eax, edi ;  mov [ebx], eax ;  add ebx, 4h ;  pushad ;   pushfd ;   mov eax, 12321h ;  xor edx,edx ;    sub eax, esi ;   popfd ;   popad ;   lbl1: jcxz lbl2 ; ,    pushad ;   pushfd ;   shr ebx, 4 ;  popfd ;   popad ;   jmp lbl0 ; ,   lbl2: sub ebx, 100h ;  </pre>
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

, « ». , , , . . , - — « breakpoint!».



. そのように：

« »	1	2
virt_mov eax, 10h	mov eax, 20h; sub eax, 10h;	mov edx, 10h; mov eax, edx;
virt_mov ecx, 08h	xor ecx,ecx; add ecx, 08h;;	mov ecx, 04h; add ecx, 04h;
virt_sub eax, ecx	neg ecx; add eax, ecx;	mov edx, ecx; sub eax, edx;

, : « » «virt_mov edx, 10h» «virt_mov ecx, 100h». , , , «50h», , «virt_mov edx, 10h» «mov edx, 50h; sub edx, 40h;», a «virt_mov ecx, 100h» «mov ecx, 50h; add ecx, B0h». -, , wildcards , - «mov eax, <wildcard->; <skip >; mov ecx, <wildcard->». , , …



, , , , . , — , — . , . , eax, edx esi. ebx,ecx, edi . , .

 . . . mov eax, 10h ;  mov ebx, 20h ; , ebx -  ,     xchg xchg edx, ebx ;  ,   20h   edx xor ecx,ecx ;  inc ebx ;  add ecx,ebx ;  add eax, edx ;  mov edx, [esi] ;  xchg edi,ebx ;  cmp edx, 0 ;  . . . ;
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

, -, «» , . «» , , «».



- , , , :

« »	1	2
virt_push eax	sub esp, 04h; mov [esp], eax;	mov edx, esp; sub edx, 04h; mov [edx], eax;
virt_mov eax, ebx	lea eax,[ebx];	push ebx; xchng eax,ebx; pop ebx;

— , . , .. , , .. .

, , , , , :

• ;
• - ;
• , ;
• ;
• - .

« ».

, 42 - , «- » , , . , , . , , , , .. , , , . , , , , .., .. . , — .



, , , ( Original Entry Point). , , payload , OEP. , , .. , , , .. , , , , esp , . , esp breakpoint, , esp , . OEP ( ). ( , ) , , , , cur_esp , , esp.

 . . . ; base_esp = cur_esp; push eax ; cur_esp -= 4; mov eax, 1h ; - push edx ; cur_esp -= 4; . . . ; - pop edx ; cur_esp += 4; pop eax ; cur_esp += 4; (cur_esp == base_esp) !!! . . . ;       
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

, , , . , , , ( ). , , , , - . , . — API, ..



— . , — , . -, , - , , . MMX, SSE , ( ), (.. , ). , - «BANANAS», .

, , , .. pushad/popad, , , , .. — . ( ESI «BANANAS\0»).

  mov ecx, 0h; ; ecx_var = 0; lbl0: mov eax, [esi + ecx] ; esi  eax   (  ), ;        ;   "BANANAS" xor eax, edi ; eax_var = eax_var XOR edi_var; push eax ; esp_var -= 4; *esp_var = eax_var; pushad ;    pushfd ; skip mov eax, 12321h ; skip xor edx,edx ; skip sub eax, esi ; skip popfd ; skip popad ;    ; ""   ;      ;      mov edx, 23h ; edx_var = 23h; or edx, eax; ; edx_var = edx_var OR eax_var; lbl1: inc ecx ; ecx_var++; cmp ecx, 8h; ; if (ecx_var == 8) { goto lbl2; }: pushad ;    pushfd ; skip shr ebx, 4 ; skip popfd ; skip popad ;    jmp lbl0 ; goto lbl0 lbl2: sub ebx, 100h ;    "BANANAS" - !
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

, , , , . , , , , .

, - , . , , , . ?

. , , . , ?



— .. , . , . , . , , , , , — . — .



, . , , . « eax» , , (xor eax,eax sub eax, eax) - — . , , .. , , , . , - «» . , , , , , , .



, , , , .. , . - , , , , , - .. , . , , .. . , , , .., , , . , - , , , , , ( ). , , , , ( ). , . , , , , .



. , , , , . , , … .

, ? , , , , ? .



, — . NT- , NTFS Linux PC — , . . , , , — , , online- — «» . , , , , ? , , .



, , — . , , , crackme, , … . , — , , . , , . — , , , . , , , , , .

エピローグ

, , , , . , . , , , .