/**************************************/* 作者:半斤八兩/* 博客:http://cnblogs.com/bjblcracked/* 日期:2014-06-18 21:01/**************************************

只是感兴趣，没有其他目的。失误之处敬请诸位大侠赐教!

环境:我只测试了xp x86 win7 x64 其它平台未测试.

插件:Strongod 0.4.5 (感谢海风前辈写了一个这么优秀的免费插件.)

今天J师傅又发来一个好玩的东西了.只要用OD加载,就会报错.

一看到这个提示,我第一反映是这个PE损坏的? 不能运行? 但是我双击是可以运行的,只是没有GUI.

双击是可以运行,我尝试attach 上去,也是可以的.那么就可能是运行时检测调试器?我就再想会不会是tls在捣鬼?

1 004001C8 00000000 DD 00000000 ; TLS Table address = 0

2 004001CC 00000000 DD 00000000 ; TLS Table size = 0

再查看了tls后,全为0. 这时候我就想,可能是系统的漏洞? 要么就是ollydbg自身的漏洞?

首先要来排除是ollydbg的漏洞, 我就换了几个ollydbg尝试. 结果都是一样的,都会弹错误.

这时候我就开始以为是系统的PE相关的漏洞.因为我是在xp下的,我最后又拿ntsd 调试了一下.

用ntsd 调试,发现可以正常加载.并运行.并没有发现什么异常 :(

那么我们就能除非系统漏洞了,那么就是ollydbg的漏洞.

Ollydbg加载时有错误码,我们不知道错误码的意思,可以在网上搜索一下.

C0000142 STATUS_DLL_INIT_FAILED

从字面意思上大概能猜出意思,是在DLL初始化时的错误.

不过我比较迟钝,当时没有反映过来.它的意思. 后面又在一个俄国人的论坛上看到了也有遇到类似情况的贴子.

就算这篇贴子是英文写的我也不一定知道意思,更何况是英文的.但是, 我就正好看到 Plugin 这个单词. 正好还认识..

然后我就想到错误码的意思,瞬间就反映过来了.

我把ollydbg的插件目录改名,然后再加载,就可以正常运行了. 那么这样就知道也不是ollydbg的漏洞,而是ollydbg的某个插件有问题.

剩下的就是排除了.我运气比较好,试了第二下,就找到是strongod 的问题.

知道是strongod 的问题后,就要确定是哪个功能有问题. 剩下的就是一个个排除. 这个漏洞,程序并没有得到执行.就产生了. 自然就会想到应该是PE相关的漏洞. 而strongod 上面,和PE相关的,好像就一个 !*Kill BadPE Bug. 于是我把这个勾去掉. 再重新加载. 果然就没有异常了.

现在程序可以正常执行了.

现在我们已经知道漏洞根源了.现在我们要搞清楚,漏洞是如何产生的.

Strongod 是做为ollydbg 的模块运行起来的. 也就是被调试的父进程. 我们想要分析它的话,只能双开ollydbg.

调试Ollydbg 我们简称 父od. 被调试Ollydbg 我们简称 子od.

运行子od. 用子od 加载那个病毒体.(记得勾上 !*Kill BadPe Bug 选项.) 刚加载,就报错.那就是正常的了.

因为我们要分析的是Strongod , 而Strongod 是做为插件运行的,所以调用的地方相对来说比较少. 所以我们可以尝试直接在代码段下断点.

多断几次.我们可以来到 .004AEFBE 这个地址.

1 004AEFA6 jmp dword ptr ds:[<&ADVAPI32.RegOpenKeyA>] ; ADVAPI32.RegOpenKeyA

2 004AEFAC jmp dword ptr ds:[<&ADVAPI32.RegQueryValueExA>] ; ADVAPI32.RegQueryValueExA

3 004AEFB2 jmp dword ptr ds:[<&ADVAPI32.RegSetValueExA>] ; ADVAPI32.RegSetValueExA

4 004AEFB8 jmp dword ptr ds:[<&KERNEL32.CloseHandle>] ; KERNEL32.CloseHandle

5 004AEFBE jmp dword ptr ds:[<&KERNEL32.ContinueDebugEvent>] ; StrongOD.7084EE50

6 004AEFC4 jmp dword ptr ds:[<&KERNEL32.CreateDirectoryA>] ; KERNEL32.CreateDirectoryA

7 004AEFCA jmp dword ptr ds:[<&KERNEL32.CreateFileA>] ; KERNEL32.CreateFileA

8 004AEFD0 jmp dword ptr ds:[<&KERNEL32.CreateProcessA>] ; StrongOD.70844340

9 004AEFD6 jmp dword ptr ds:[<&KERNEL32.DebugActiveProcess>] ; StrongOD.7084B250

不难看出这里是一片IAT ,其中 004AEFBE 处被Strongod hook 了. 而被HOOK的函数,正是 Kernel32.ContinueDebugEvent.

写过调试器的,或者对调试程序熟悉的童鞋应该都知道这个函数的意思.

ContinueDebugEvent

The ContinueDebugEvent function enables a debugger to continue a thread that previously reported a debugging event.

BOOL ContinueDebugEvent(

DWORD dwProcessId, // process to continue

DWORD dwThreadId, // thread to continue

DWORD dwContinueStatus // continuation status

);

我们回车跟进Strongod 代码. 跟进去后可以发现里面已经加入类似虚拟机东西. 我们就没有必要继续分析了.

到此,我们该知道的,差不多都知道了.

下面我们来构造一个这样的”畸形PE”. 我们就拿xp系统自带的计算器来做一个吧.

因为没有分析漏洞产生的代码.所以也只能”猜测”. 我猜测是因为开启 Strongod 的 !*Kill BadPe Bug 功能后,会对PE头做一些 ”保护”.

而这个”保护”做的并不是很细腻. 就有点像我前段时间写的 win7 漏洞一样.

而那个”病毒程序” 正好他的AddressOfEntryPoint 是0.

01000118 00000000 DD 00000000 ; AddressOfEntryPoint = 0

Oep为0 那也就是可以理解成 oep 为 imagebase. 也就是可以理解成. “病毒” 的第一行代码是从 PE的 “MZ” 开始的.

代码如下:

1 00400000 4D dec ebp

2 00400001 5A pop edx

3 00400002 52 push edx

4 00400003 - FF25 1A004000 jmp dword ptr ds:[40001A] ; AntiArp.00404F47

5 00400009 90 nop

6 0040000A 0000 add byte ptr ds:[eax],al

7 0040000C FFFF ??? ; 未知命令

8 0040000E 0000 add byte ptr ds:[eax],al

9 00400010 B8 00000000 mov eax,0

10 00400015 0000 add byte ptr ds:[eax],al

11 00400017 0040 00 add byte ptr ds:[eax],al

12 0040001A 47 inc edi

13 0040001B 4F dec edi

14 0040001C 40 inc eax

15 0040001D 0000 add byte ptr ds:[eax],al

第一行就是 ”M” 对应的 机器码 0x4d 对应的汇编代码 dec ebp ,

第二行就是 “Z” 对应的机器码 0x5a 对应的汇编代码 pop edx.

第三行 机器码是 0x52 对应的汇编代码 push edx

第三行可能是为了堆栈平衡, 也可能是为了代码对齐什么的, 我们就不要在意这些细节了.

第四行就开始跳到原来的EIP了. 就是这简单的4行. 让程序无法调试了.

这也有可能不是Strongod程序的漏洞, 也可能是我”猜”错了. 因为毕竟没有看代码实现细节.

但是有一点可以肯定的是绝对是因为Strongod 导致出错了 :)

最后感谢J师傅发的bin. 要不然也不会有此发现.

PDF和畸形PE下载地址:

<<看雪学院>>