虚拟机之外的rootkit检测思考

janxin — Wed, 22 Jul 2009 06:03:23 +0000

昨天Nguyen Anh Quynh先生send给我了一封email，说今年会到中国的Xcon’09上进行一次演讲，演讲内容是他最近研究的一种在虚拟机之外的rootkit检测方法。

看Nguyen Anh Quynh先生的大致意思是这样的：一般的时候我们在检测病毒的时候，一般是在VM里面，这个VM包括了AntiVirus程序检测的简易VM。而Nguyen Anh Quynh的设计独立于vm之外，通过扫描vm的物理内存，进行检测。据Nguyen Anh Quynh介绍，他的这种检测方法可以解决大部分的kernel rootkit和ring3 rootkit。

我个人认为，这种方法看似巧妙，但是实际上还是有很大的缺陷在里面。假如我作为Vxer的时候，一定会采用防止VM run的方法。这是一个高级病毒maker一定会做的事情。而且，在自己的病毒或者rootkit中使用polymorphism和metamorphism。当然，说起来，在病毒和ring3级别的rootkit中使用这些技术较为简单，但是在ring0级别的rootkit中，这种技术倒是个硬伤。

那好吧，我们抛开ring0 rootkit不谈，假如我检测自己在VM底下，我选择不decode我的代码和执行，反而去解密一些较为正常的代码，变成一个在VM下无害的病毒呢？相信这些技术，作为一个熟练的Vxer应该是都已经掌握了的技巧了吧。

今年的xcon我不一定可以抽出时间来过去，真是遗憾不能再次听到Nguyen Anh Quynh的精彩演讲了。非常遗憾，希望以后有机会再联系吧。

[Update 07-23] 今天Xcon公布了新的议题内容，看起来比去年更加诱人一些。Nguyen Anh Quynh先生的程序是应用在邮件Server上，难怪会有讨论中的那些发言了。

分享：一个unpack conficker worm的脚本

janxin — Mon, 13 Jul 2009 11:41:56 +0000

lclee 说:
i just finish the ollyscript
automated unpack the conficker worm
tested these sample with MD5
MD5:83c52b56b1ecbe23183bae5e05474e3e
MD5:6ee741c4e0d36d0dc9162a6e71943379
if want to get the sample, search the md5 from here
http://www.offensivecomputing.net/
hmm..still not perfect yet the script
it just can automated unpack the conficker variant B
C still cannot

var goaddr1
var goaddr2
var goaddr3
var goaddr4
var goaddr5
var goaddr6
var goaddr7
var szmemory
 
start:
  find eip, #807C240801#
  cmp $RESULT, 0
  jne uncompress1
 
error1:
  msg "Failed to uncompress 1st layer packer of conficker worm variant B"
  ret
 
uncompress1:
  sti
  msg "Start to uncompress 1st layer packer"
  mov goaddr1, $RESULT
  findop goaddr1, #83EC??#
  cmp $RESULT, 0
  bphws $RESULT, "x"
  run
  bphwc $RESULT
  sti
  sto
  msg "1st Layer packer success uncompress, Now start uncompress 2nd layer packer"
 
SearchAPI:
  gpa "VirtualProtect", "kernel32.dll"
  mov goaddr2, $RESULT
  bphws goaddr2, "x"
  run
  bphwc goaddr2
  msg "Landed at address of VirtualProtect, check the segment address of memory allocate for dll"
  mov goaddr3, esp
  add goaddr3, 4
  mov goaddr4, [goaddr3]
  findop goaddr4, #807C240801#
  cmp $RESULT, 0
  jne uncompress2
 
error2:
  msg "Failed to uncompress 2nd layer packer of conficker worm variant B"
  ret
 
uncompress2:
  mov goaddr5, $RESULT
  go goaddr5
  msg "start uncompress 2nd layer packer"
  find eip, #83EC??#
  mov goaddr6, $RESULT
  bphws goaddr6, "x"
  run
  bphwc goaddr6
  sti
  sto
 
  //mov goaddr7, eip
  //gmemi goaddr7, MEMORYSIZE
  //mov szmemory, $RESULT
 
  //msgyn "Dump the file from the memory?"
  //cmp $RESULT, 0
  //jne dumpfile
  //jmp end
 
//error3:
  //msg "Failed to dump the file from the memory"
  //ret
 
//dumpfile:
  //dma goaddr7, szmemory, "conficker.mem"
  //msg "stop"
 
end:
  cmt eip, "This is Original Entry Point of the conficker worm variant B"
  msg "This is OEP of the binary file. Right click and select "backup" and "save data to file" and dump the binary from the memory. Binary decrypted."
  msg "Script by lclee_vx/F-13 Labs"
  ret

很久没有沾手病毒这一块了，相对之下，lclee最近的成果可真是多呀 :)。马上考完最后一场编译原理之后，我全部的精力就要集中在考研这种事情上了。加油！这个是给lclee的，也是给自己的。:)

目标还没有选好，北京理工其实也不错，不是吗？

Kernel2Heart » Virus

虚拟机之外的rootkit检测思考

分享：一个unpack conficker worm的脚本