软件逆向分析在司法鉴定中的应用

1、软件逆向分析在电子数据司法鉴定中的应用什么是逆向工程&起源灰盒测试动态调试静态分析反编译反汇编软件逆向分析让我们从案例开始背景介绍：“淘宝客”逆向分析的目的：通过分析样本行为和 技术细节，进而挖掘作者信息，为进一步 分析提供条件说明：略过加载驱动，文件过滤、网络过滤 技术的介绍，直接介绍该样本的关键行为将用户拦截、导向到指定页面日感染量：1460淘宝客来源：金山毒霸解密注册表信息及配置文件样本将拦截的http特征字符串样本对http流进行的替换样本最终对用户的影响样本的行为分析该样本内部保存了一组杀毒软件网站常用的HTTP特 征字串数组行为分析特征字符串当样本拦截到http请求以后,会 遍历此

2、特征字符串数组,并检查http请求是否符合杀毒软件请求 的特征如果是，就用一个关闭http的请 求进行替换行为分析http拦截行为结论此样本对杀毒软件网址进行拦截，并修改http请求， 以达到阻止杀毒软件正常访问服务器或上传样本的 目的。该样本在注册表REGISTRYMACHINESYSTEMCurrentControlSetControl的 CurrentUserData键内保存了购物 网站的配置信息,这个配置信息是 经过加密处理的。行为分析发现加密的配置文件行为分析要拦截的网址特征字符串行为分析替换http请求替换请求并向下发送mm_30685818_3322984_10799476 mm

3、_30683801_3323295_10799945 mm_30685856_3322988_10799488 mm_30685904_3322997_10799506 mm_30685939_3323013_10799525 从样本中提取到的淘宝PID所圈内容就是被篡改的淘宝PID行为结果浏览器url被篡改该样本在未得到授权的情况下，影响安全软件的正 常工作，拦截并篡改用户的http请求，尤其是目标 为购物网站类的请求。其行为影响操作系统以及数 据的完整性、可控性和保密性，已经满足恶意程序 的鉴定条件。行为结论恶意软件驱动特征分析配置文件名及路径特征分析服务器地址/IP特征分析样本特征及开发

4、团队跟踪驱动名称和符号链接驱动符号和符号链接配置文件名和路径有一个线程每隔6小时查询注册表REGISTRYMACHINESYSTEMCurrentControlSetControlNetwork 的AuthenticationD值.并进行解 密升级的URL及IP地址URL及IP定位经解密得样本的更新地址：xml.*.net:83/union/upload/27/27.ini升级的URL或IP地址该团队拥有正在销售的商业产品， 而且是自主开发的。根据其产品描述,是一款基于windows系统驱动开发的磁盘过 滤技术的*软件,而该样本应 用了驱动技术。而且同样有磁盘驱动.两个程序的关键技术接近，说明

5、该公司具备开发此样本的技 术条件。通过whois及搜索引擎挖掘域名信息开发团队跟踪锁定目标锁定目标分析结束了？To be continued驱动符号同源分析注册表结构同源分析解密函数同源分析URL服务器同源分析同源性分析另一个样本，时间关系，略去行为分析两样本驱动和符号名称一致驱动符号同源分析注册表同源分析2个样本自动升级的配置信息都加密存放在注册表，而且结构一致样本1：REGISTRYMACHINESYSTEMCurrentControlSetControlNetwork下的AuthenTicationD子键和SecurityD子键样本2：REGISTRYMACHINESYSTEMCurre

6、ntControlSetControlNetwork下的AuthenTicationD子键和SecurityD子键2个样本在解密更新地址前,都压入了同一字符串， 作为key样本1 样本2解密函数同源分析升级服务器URL同源分析特征样本1样本2创建设备名称和符号链接拦截杀软的匹配字符串表更新服务器地址解密特征字符串注册表信息同源性对比相同几乎相同且顺 序一致几乎相同“NsUrKey”“NsUrKey” 相 同服务器地址相同结论受益者信息一致或者具备某种关联逆向分析后，得到的源码极其一致，甚至连源码里的错误 都一致逆向分析后，得到的注册表名称、内核对象命名、有关的URL、SQL语句、提示信息等一致

7、某些编译选项造成的信息泄露，如断言、调试信息、工程 结构信息等同源分析常用的参考依据SQL信息泄露调试信息泄露工程结构泄露内核对象名称泄露有图有真相常见的软件信息泄露途径SQL信息泄露调试信息泄露工程结构信息泄露对象名称泄露逆向分析在软件领域有什么作用?逆向分析与不同领域结合，有不同作用防守攻击信息加密信息解密加壳脱壳病毒防御病毒隐蔽和传播漏洞修复和防范漏洞攻击游戏安全外挂移动安全信息窃取电子数据取证取证对抗设计用户认证算法加密VS解密逆向分析得到算法原 理后,算法求解或篡 改代码获得授权加密VS解密得到算法原理逆向分析操作（求解、 篡改代码）开始输入密码操作加密验证出错3次结束对可执行文件内

8、的代码 和数据进行数学变换， 目的是减少体积（压缩 壳）或者提高逆向分析 的难度（保护壳）加壳VS脱壳静态脱壳、内存Dump脱 壳加壳压缩壳保护壳脱壳静态脱壳内存dump壳肉相连、关键代码混 淆膨胀甚至虚拟化加壳VS脱壳开发针对性的辅助工具， 对混淆膨胀的代码作出 优化，对虚拟化的代码 进行还原分析样本，了解机制按 特征予以查杀技术炫耀型病毒感染，隐匿，爆发分析样本了解机制按特征查杀多态变型，人工免杀技术炫耀型病毒扩大样本俘获渠道，主 动防御，行为判定，白 名单，虚拟执行客户端收集样本，每个 用户既是安全的受益者， 也是维护安全的参与者盈利型病毒传播反虚拟检测、对抗保护 软件、社会工程、挟以

9、用户的刚性需求发现漏洞，写出 exploit，渗透目标产品被动升级，提高开 发团队安全意识漏洞攻防自动化Fuzz，产业化监视或过滤畸形数据， 定位和分析漏洞利用原 因，安全服务型企业积 极和软件厂商沟通游戏数据的篡改。以作 弊为目的针对游戏的关键数据进 行保护，或者截获外挂 样本后，分析其功能， 对症下药游戏攻防技术更加细分：内存修改， 数据包修改，模拟玩家操 作等。保护同时也具备综合性， 数据校验，数据包加密，采用技术或者人工机制防 止程序模拟玩家等游戏攻防游戏外挂内存修改数据包修改模拟玩家操作游戏安全数据校验数据包加密防止模拟玩家操作技术对抗的同时，运用 法律武器游戏攻防行业更加细分：破解， 生产，盗号，私服以 盈利为目的尚属起步阶段，但是各 大安全厂商高度重视， 最终解决问题还得多方 通力配合信息窃取 VS移动安全攻击方将会综合应用前述技术， 目的还是非法盈利。而且战场可能会扩展到手机以外的设备 上，比如车载导航、取款机、 要害部门的门禁系统等移动设备上的流氓程序，目的是信息换取利益，