分析一个可能的恶意软件样本

逆向工程 恶意软件 pe32
2021-06-25 02:27:31

我正在尝试分析一个可能的恶意样本。这是一个 Windows 可执行文件

e3f04124e2e26f8f030f6845086875a9
Md5sum
Intel 386 or later processors and compatible processors

File 2464.exe
2464.exe: PE32 executable (console) Intel 80386, for MS Windows

https://tinyurl.com/4k962erx
它显示了一些数据,例如
1. 异常节名称“.leopard” 2. “.bss”的原始大小为零 3. 发现 VM 检测神器“RDTSCP 技巧”

我知道拥有一个不寻常的部分名称 .leopard 是一个麻烦,而大小为零的 .bss 是
恶意活动的标志还有什么是 RDTSCP 技巧,还有其他方法可以分析
样本

1个回答
  • 奇怪的部分表明此样本可能已被打包,尤其是“.leopard”部分。您可以尝试搜索此部分名称是否与已知打包程序相关,并尝试对其进行动态解包。否则,您可以使用像“Unpack.me”这样的解包服务,将您的样本放入其中,然后等待有效载荷。

请记住,仅通过文件的部分来判断文件并不是真正有效的。这不是因为你有一个奇怪的部分的名称/大小,这是 100% 恶意的。尝试全面了解这个二进制文件在何时何地做什么,你就可以判断这是否是恶意的。

  • 正如你所说的,“RDTSCP 技巧”实际上是一条 CPU 指令。再一次,这并不表明这是恶意软件(不仅仅是这条指令)。但想法是这条指令返回 CPU 的当前“时间戳”。如果恶意软件在执行重要操作之前和之后监控它的执行时间,它可能能够检测到是否有人在此例程中放置了断点。由于一组多条 CPU 指令之间的差值非常低,如果该差值增加(减去执行后和之前的时间戳),恶意软件可以检测到有人暂停了执行。
其它你可能感兴趣的问题
上一篇使用 objdump -t 生成的符号表的工具/解析器与 IDA/Ghidra 一起使用? 下一篇本地 KD -- 无法访问物理地址 0xFFFFFFF0 但您可以使用 RwEverything