日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
使用Frida對Windows平臺的程序進(jìn)行逆向分析

 Frida由于使用JavaScript語言安裝鉤子的便利性而在最近變得越來越流行。我看到許多研究都將Frida用于移動平臺,但最近Windows似乎在使用方面有了更多的吸引力。在DarunGrim,我們正在研究安全研究人員可以用于日常工作的新方法。Frida是我們認(rèn)為可用于Windows逆向工程的工具之一。但是,在我們的測試過程中,我們發(fā)現(xiàn)符號查找功能是該工具廣泛使用的限制因素。我們進(jìn)行了改進(jìn),現(xiàn)在Frida 12.9.8中可以使用它。我們非常感謝OleAndréVadlaRavn?s在合并變更方面的幫助。

創(chuàng)新互聯(lián)公司服務(wù)項目包括曲靖網(wǎng)站建設(shè)、曲靖網(wǎng)站制作、曲靖網(wǎng)頁制作以及曲靖網(wǎng)絡(luò)營銷策劃等。多年來,我們專注于互聯(lián)網(wǎng)行業(yè),利用自身積累的技術(shù)優(yōu)勢、行業(yè)經(jīng)驗、深度合作伙伴關(guān)系等,向廣大中小型企業(yè)、政府機構(gòu)等提供互聯(lián)網(wǎng)行業(yè)的解決方案,曲靖網(wǎng)站推廣取得了明顯的社會效益與經(jīng)濟效益。目前,我們服務(wù)的客戶以成都為中心已經(jīng)輻射到曲靖省份的部分城市,未來相信會繼續(xù)擴大服務(wù)區(qū)域并繼續(xù)獲得客戶的支持與信任!

我們將簡要介紹一下所做的更改,并說明如何在現(xiàn)實世界中解決問題時使用改進(jìn)的符號查找功能。

0x01 對Frida 12.9.8 的改進(jìn)

Frida使用dbghelp.dll API在Windows平臺中查找符號。但是它缺少符號服務(wù)器支持。我們增加了對符號服務(wù)器的支持,并改進(jìn)了Windows中傳遞符號字符串的方式。在較舊的Frida實現(xiàn)中,查找每個符號花費了一些時間,因為它使用通配符模塊名稱查找任何符號?,F(xiàn)在,你可以指定模塊名稱以加快符號查找的速度。

新的Frida將隨symsrv.dll和dbghelp.dll一起提供,以支持包括Microsoft符號服務(wù)器在內(nèi)的符號服務(wù)器。

這些是我們在Ole的幫助下所做的更改。

 
 
 
 
    
  
  
  
  
  1. · Add load_symbols() and improve the DbgHelp backend
    2. 
  
  
  
  
  2. 
  
  
  
  
  3. · Migrate agent to new DbgHelp layout on Windows
    4. 
  
  
  
  
  4. 
  
  
  
  
  5. · Frida 12.9.8
    6.

0x02 分析office的惡意宏

使用改進(jìn)的Frida對一個Office Macro惡意軟件進(jìn)行分析,我們希望將其應(yīng)用到Frida中進(jìn)行深度分析。

代碼注入

下圖顯示了Frida通常如何安裝hook并從已安裝的hook中獲取消息。

此過程中涉及frida,session,腳本對象,以管理hook安裝。hook回調(diào)是用JavaScript編寫的。

以下代碼顯示了如何使用這些對象來安裝分配給self.script_text變量的JavaScript hook代碼以使用process_id變量進(jìn)行處理的示例。

 
 
 
 
    
  
  
  
  
  1. https://github.com/ohjeongwook/Frida.examples.vbe/blob/master/code.py
    2. 
  
  
  
  
  2. 
  
  
  
  
  3. 
  
  
  
  
  4. import os
    5. 
  
  
  
  
  5. import sys
    6. 
  
  
  
  
  6. import frida
    7. 
  
  
  
  
  7. import process
    8. 
  
  
  
  
  8. 
  
  
  
  
  9. class Instrumenter:
    10. 
  
  
  
  
  10.     def __init__(self, script_text):
    11. 
  
  
  
  
  11.         self.sessions = []
    12. 
  
  
  
  
  12.         self.script_text = script_text
    13. 
  
  
  
  
  13.         self._device = frida.get_local_device()
    14. 
  
  
  
  
  14.         self._device.on("child-added", self._on_child_added)
    15. 
  
  
  
  
  15.         self._device.on("child-removed", self._on_child_removed)
    16. 
  
  
  
  
  16.         self._device.on("output", self._on_output)
    17. 
  
  
  
  
  17.         
    18. 
  
  
  
  
  18.     def __del__(self):
    19. 
  
  
  
  
  19.         for session in self.sessions:
    20. 
  
  
  
  
  20.             session.detach()
    21. 
  
  
  
  
  21. 
  
  
  
  
  22.     def run(self, process_name):
    23. 
  
  
  
  
  23.         proc = process.Runner(process_name, suspended = True)
    24. 
  
  
  
  
  24.         if not proc.create():
    25. 
  
  
  
  
  25.             return
    26. 
  
  
  
  
  26.         process_id = proc.get_id()
    27. 
  
  
  
  
  27. 
  
  
  
  
  28.         self.instrument(process_id)
    29. 
  
  
  
  
  29. 
  
  
  
  
  30.         if proc:
    31. 
  
  
  
  
  31.             proc.resume()
    32. 
  
  
  
  
  32. 
  
  
  
  
  33.     def instrument(self, process_id):
    34. 
  
  
  
  
  34.         session = frida.attach(process_id)
    35. 
  
  
  
  
  35.         self.sessions.append(session)
    36. 
  
  
  
  
  36.         session.enable_child_gating()
    37. 
  
  
  
  
  37.         script = session.create_script(self.script_text)
    38. 
  
  
  
  
  38.         script.on('message', self.on_message)
    39. 
  
  
  
  
  39.         script.load()
    40. 
  
  
  
  
  40. 
  
  
  
  
  41.     def on_message(self, message, data):
    42. 
  
  
  
  
  42.         print("[%s] => %s" % (message, data))
    43. 
  
  
  
  
  43. 
  
  
  
  
  44.     def _on_child_added(self, child):
    45. 
  
  
  
  
  45.         print(" new child: {}".format(child))
    46. 
  
  
  
  
  46.         self.instrument(child.pid)
    47. 
  
  
  
  
  47. 
  
  
  
  
  48.     def _on_child_removed(self, child):
    49. 
  
  
  
  
  49.         print(" child terminated: {}".format(child))
    50. 
  
  
  
  
  50. 
  
  
  
  
  51.     def _on_output(self, pid, fd, data):
    52. 
  
  
  
  
  52.         print(" output: pid={}, fd={}, data={}".format(pid, fd, repr(data)))
    53. 
  
  
  
  
  53. 符號查找:resolveName
    54. 
  
  
  
  
  54. 
  
  
  
  
  55. Frida JavaScript API在API文檔中有很好的描述。
    56. 
  
  
  
  
  56. 
  
  
  
  
  57. 使用Frida進(jìn)行hook的第一步是找到目標(biāo)函數(shù)。
    58. 
  
  
  
  
  58. 
  
  
  
  
  59. 如果函數(shù)已導(dǎo)出,則只需使用導(dǎo)出的函數(shù)名和DLL名稱調(diào)用Module.findExportByName方法。
    60. 
  
  
  
  
  60. 
  
  
  
  
  61. Module.findExportByName(dllName, name)
    62. 
  
  
  
  
  62. 但是,如果該函數(shù)未導(dǎo)出并且僅記錄在例如PDB符號文件中,則可以調(diào)用DebugSymbol.getFunctionByName方法。使用Frida 12.9.8,你可以傳遞“ DLLName!FunctionName”符號,以在指定特定功能時提高準(zhǔn)確性,并在定位它們時獲得更好的性能。
    63. 
  
  
  
  
  63. 
  
  
  
  
  64. 有時,為模塊加載符號可能很慢,因為它可能來自遠(yuǎn)程符號服務(wù)器。因此,你需要調(diào)用DebugSymbol.load方法來啟動符號的加載,以便我們加載最少數(shù)量的符號。
    65. 
  
  
  
  
  65. 
  
  
  
  
  66. 下面是一個示例代碼,該示例代碼使用Module.findExportByName和DebugSymbol方法查找任何帶符號或?qū)С龅暮瘮?shù)。它使用字典來緩存其發(fā)現(xiàn),以刪除所有重復(fù)的信息。如果你要hook大量函數(shù),則可以節(jié)省整個符號查找時間。
    67. 
  
  
  
  
  67. 
  
  
  
  
  68. vbe.js
    69. 
  
  
  
  
  69. 
  
  
  
  
  70. https://github.com/ohjeongwook/Frida.examples.vbe/blob/master/vbe.js
    71. 
  
  
  
  
  71. 
  
  
  
  
  72. var loadedModules = {}
    73. 
  
  
  
  
  73. var resolvedAddresses = {}
    74. 
  
  
  
  
  74. 
  
  
  
  
  75. function resolveName(dllName, name) {
    76. 
  
  
  
  
  76.   var moduleName = dllName.split('.')[0]
    77. 
  
  
  
  
  77.   var functionName = moduleName + "!" + name
    78. 
  
  
  
  
  78. 
  
  
  
  
  79.   if (functionName in resolvedAddresses) {
    80. 
  
  
  
  
  80.     return resolvedAddresses[functionName]
    81. 
  
  
  
  
  81.   }
    82. 
  
  
  
  
  82. 
  
  
  
  
  83.   log("resolveName " + functionName);
    84. 
  
  
  
  
  84.   log("Module.findExportByName " + dllName + " " + name);
    85. 
  
  
  
  
  85.   var addr = Module.findExportByName(dllName, name)
    86. 
  
  
  
  
  86. 
  
  
  
  
  87.   if (!addr || addr.isNull()) {
    88. 
  
  
  
  
  88.     if (!(dllName in loadedModules)) {
    89. 
  
  
  
  
  89.       log(" DebugSymbol.loadModule " + dllName);
    90. 
  
  
  
  
  90. 
  
  
  
  
  91.       try {
    92. 
  
  
  
  
  92.         DebugSymbol.load(dllName)
    93. 
  
  
  
  
  93.       } catch (err) {
    94. 
  
  
  
  
  94.         return 0;
    95. 
  
  
  
  
  95.       }
    96. 
  
  
  
  
  96. 
  
  
  
  
  97.       log(" DebugSymbol.load finished");
    98. 
  
  
  
  
  98.       loadedModules[dllName] = 1
    99. 
  
  
  
  
  99.     }
    100. 
  
  
  
  
  100. 
  
  
  
  
  101.     try {
    102. 
  
  
  
  
  102.       log(" DebugSymbol.getFunctionByName: " + functionName);
    103. 
  
  
  
  
  103.       addr = DebugSymbol.getFunctionByName(moduleName + '!' + name)
    104. 
  
  
  
  
  104.       log(" DebugSymbol.getFunctionByName: addr = " + addr);
    105. 
  
  
  
  
  105.     } catch (err) {
    106. 
  
  
  
  
  106.       log(" DebugSymbol.getFunctionByName: Exception")
    107. 
  
  
  
  
  107.     }
    108. 
  
  
  
  
  108.   }
    109. 
  
  
  
  
  109. 
  
  
  
  
  110.   resolvedAddresses[functionName] = addr
    111. 
  
  
  
  
  111.   return addr
    112. 
  
  
  
  
  112. }
    113. 
  
  
  
  
  113. 
  
  
  
  
  114. function loadModuleForAddress(address) {
    115. 
  
  
  
  
  115.   var modules = Process.enumerateModules()
    116. 
  
  
  
  
  116. 
  
  
  
  
  117.   var i
    118. 
  
  
  
  
  118.   for (i = 0; i < modules.length; i++) {
    119. 
  
  
  
  
  119.     if (address >= modules[i].base && address <= modules[i].base.add(modules[i].size)) {
    120. 
  
  
  
  
  120.       log(" " + modules[i].name + ": " + modules[i].base + " " + modules[i].size + " " + modules[i].path)
    121. 
  
  
  
  
  121. 
  
  
  
  
  122.       var modName = modules[i].path
    123. 
  
  
  
  
  123.       if (!(modName in loadedModules)) {
    124. 
  
  
  
  
  124.         log("  DebugSymbol.loadModule " + modName);
    125. 
  
  
  
  
  125. 
  
  
  
  
  126.         try {
    127. 
  
  
  
  
  127.           DebugSymbol.load(modName)
    128. 
  
  
  
  
  128.         } catch (err) {
    129. 
  
  
  
  
  129.           return 0;
    130. 
  
  
  
  
  130.         }
    131. 
  
  
  
  
  131. 
  
  
  
  
  132.         loadedModules[modName] = 1
    133. 
  
  
  
  
  133.       }
    134. 
  
  
  
  
  134.       break
    135. 
  
  
  
  
  135.     }
    136. 
  
  
  
  
  136.   }
    137. 
  
  
  
  
  137. }
    138. 
  
  
  
  
  138. 
  
  
  
  
  139. var hookedFunctions = {}
    140. 
  
  
  
  
  140. var addressToFunctions = {}
    141. 
  
  
  
  
  141. var blackListedFunctions = {
    142. 
  
  
  
  
  142.   'I_RpcClearMutex': 1
    143. 
  
  
  
  
  143. }
    144. 
  
  
  
  
  144. 
  
  
  
  
  145. function hookFunction(dllName, funcName, callback) {
    146. 
  
  
  
  
  146.   if (funcName in blackListedFunctions) {
    147. 
  
  
  
  
  147.     return
    148. 
  
  
  
  
  148.   }
    149. 
  
  
  
  
  149.   var symbolName = dllName + "!" + funcName
    150. 
  
  
  
  
  150.   if (symbolName in hookedFunctions) {
    151. 
  
  
  
  
  151.     return
    152. 
  
  
  
  
  152.   }
    153. 
  
  
  
  
  153.   hookedFunctions[symbolName] = 1
    154. 
  
  
  
  
  154. 
  
  
  
  
  155.   var addr = resolveName(dllName, funcName)
    156. 
  
  
  
  
  156.   if (!addr || addr.isNull()) {
    157. 
  
  
  
  
  157.     return
    158. 
  
  
  
  
  158.   }
    159. 
  
  
  
  
  159. 
  
  
  
  
  160.   if (addr in hookedFunctions) {
    161. 
  
  
  
  
  161.     return
    162. 
  
  
  
  
  162.   }
    163. 
  
  
  
  
  163.   hookedFunctions[addr] = 1
    164. 
  
  
  
  
  164. 
  
  
  
  
  165.   addressToFunctions[addr] = symbolName
    166. 
  
  
  
  
  166.   log('Interceptor.attach: ' + symbolName + '@' + addr);
    167. 
  
  
  
  
  167.   Interceptor.attach(addr, callback)
    168. 
  
  
  
  
  168. }
    169. 
  
  
  
  
  169. 
  
  
  
  
  170. function hookPointers(address, count) {
    171. 
  
  
  
  
  171.   if (address.isNull())
    172. 
  
  
  
  
  172.     return
    173. 
  
  
  
  
  173. 
  
  
  
  
  174.   var currentAddress = address
    175. 
  
  
  
  
  175.   for (var i = 0; i < count; i++) {
    176. 
  
  
  
  
  176.     var readAddress = ptr(currentAddress).readPointer();
    177. 
  
  
  
  
  177.     readAddress = ptr(readAddress)
    178. 
  
  
  
  
  178.     var symbolInformation = DebugSymbol.fromAddress(readAddress)
    179. 
  
  
  
  
  179. 
  
  
  
  
  180.     var name = readAddress
    181. 
  
  
  
  
  181.     if (symbolInformation && symbolInformation.name) {
    182. 
  
  
  
  
  182.       name = symbolInformation.name
    183. 
  
  
  
  
  183.     }
    184. 
  
  
  
  
  184. 
  
  
  
  
  185.     log('Hooking ' + readAddress + ": " + name)
    186. 
  
  
  
  
  186. 
  
  
  
  
  187.     try {
    188. 
  
  
  
  
  188.       Interceptor.attach(readAddress, {
    189. 
  
  
  
  
  189.         onEnter: function (args) {
    190. 
  
  
  
  
  190.           log('[+] ' + name)
    191. 
  
  
  
  
  191.         }
    192. 
  
  
  
  
  192.       })
    193. 
  
  
  
  
  193.     } catch (err) {}
    194. 
  
  
  
  
  194.     currentAddress = currentAddress.add(4)
    195. 
  
  
  
  
  195.   }
    196. 
  
  
  
  
  196. }
    197. 
  
  
  
  
  197. 
  
  
  
  
  198. function hookFunctionNames(moduleName, funcNames) {
    199. 
  
  
  
  
  199.   for (var i = 0; i < funcNames.length; i++) {
    200. 
  
  
  
  
  200.     var funcName = funcNames[i]
    201. 
  
  
  
  
  201. 
  
  
  
  
  202.     try {
    203. 
  
  
  
  
  203.       hookFunction(moduleName, funcName, {
    204. 
  
  
  
  
  204.         onEnter: function (args) {
    205. 
  
  
  
  
  205.           var name = ''
    206. 
  
  
  
  
  206.           if (this.context.pc in addressToFunctions) {
    207. 
  
  
  
  
  207.             name = addressToFunctions[this.context.pc]
    208. 
  
  
  
  
  208.           }
    209. 
  
  
  
  
  209.           log("[+] " + name + " (" + this.context.pc + ")")
    210. 
  
  
  
  
  210.         }
    211. 
  
  
  
  
  211.       })
    212. 
  
  
  
  
  212.     } catch (err) {
    213. 
  
  
  
  
  213.       log("Failed to hook " + funcName)
    214. 
  
  
  
  
  214.     }
    215. 
  
  
  
  
  215.   }
    216. 
  
  
  
  
  216. }
    217. 
  
  
  
  
  217. 
  
  
  
  
  218. function BytesToCLSID(address) {
    219. 
  
  
  
  
  219.   if (address.isNull())
    220. 
  
  
  
  
  220.     return
    221. 
  
  
  
  
  221. 
  
  
  
  
  222.   var data = new Uint8Array(ptr(address).readByteArray(0x10))
    223. 
  
  
  
  
  223.   var clsid = "{" + getHexString(data[3]) + getHexString(data[2]) + getHexString(data[1]) + getHexString(data[0])
    224. 
  
  
  
  
  224.   clsid += '-' + getHexString(data[5]) + getHexString(data[4])
    225. 
  
  
  
  
  225.   clsid += '-' + getHexString(data[7]) + getHexString(data[6])
    226. 
  
  
  
  
  226.   clsid += '-' + getHexString(data[8]) + getHexString(data[9])
    227. 
  
  
  
  
  227.   clsid += '-' + getHexString(data[10]) + getHexString(data[11]) + getHexString(data[12]) + getHexString(data[13]) + getHexString(data[14]) + getHexString(data[15])
    228. 
  
  
  
  
  228.   clsid += '}'
    229. 
  
  
  
  
  229. 
  
  
  
  
  230.   return clsid
    231. 
  
  
  
  
  231. }
    232. 
  
  
  
  
  232. 
  
  
  
  
  233. function log(message) {
    234. 
  
  
  
  
  234.   console.log(message)
    235. 
  
  
  
  
  235. }
    236. 
  
  
  
  
  236. 
  
  
  
  
  237. function dumpAddress(address) {
    238. 
  
  
  
  
  238.   log('[+] address: ' + address);
    239. 
  
  
  
  
  239. 
  
  
  
  
  240.   if (address.isNull())
    241. 
  
  
  
  
  241.     return
    242. 
  
  
  
  
  242.   var data = ptr(address).readByteArray(50);
    243. 
  
  
  
  
  243.   log(hexdump(data, {
    244. 
  
  
  
  
  244.     offset: 0,
    245. 
  
  
  
  
  245.     length: 50,
    246. 
  
  
  
  
  246.     header: true,
    247. 
  
  
  
  
  247.     ansi: false
    248. 
  
  
  
  
  248.   }));
    249. 
  
  
  
  
  249. }
    250. 
  
  
  
  
  250. 
  
  
  
  
  251. function dumpBytes(address, length) {
    252. 
  
  
  
  
  252.   if (address.isNull())
    253. 
  
  
  
  
  253.     return
    254. 
  
  
  
  
  254.   var data = ptr(address).readByteArray(length);
    255. 
  
  
  
  
  255.   log(hexdump(data, {
    256. 
  
  
  
  
  256.     offset: 0,
    257. 
  
  
  
  
  257.     length: length,
    258. 
  
  
  
  
  258.     header: true,
    259. 
  
  
  
  
  259.     ansi: false
    260. 
  
  
  
  
  260.   }));
    261. 
  
  
  
  
  261. }
    262. 
  
  
  
  
  262. 
  
  
  
  
  263. function dumpSymbols(address, count) {
    264. 
  
  
  
  
  264.   if (address.isNull())
    265. 
  
  
  
  
  265.     return
    266. 
  
  
  
  
  266. 
  
  
  
  
  267.   var currentAddress = address
    268. 
  
  
  
  
  268.   for (var i = 0; i < count; i++) {
    269. 
  
  
  
  
  269.     var readAddress = ptr(currentAddress).readPointer();
    270. 
  
  
  
  
  270.     readAddress = ptr(readAddress)
    271. 
  
  
  
  
  271.     var symbolInformation = DebugSymbol.fromAddress(readAddress)
    272. 
  
  
  
  
  272. 
  
  
  
  
  273.     if (symbolInformation && symbolInformation.name) {
    274. 
  
  
  
  
  274.       log(currentAddress + ":\t" + readAddress + " " + symbolInformation.name)
    275. 
  
  
  
  
  275.     } else {
    276. 
  
  
  
  
  276.       log(currentAddress + ":\t" + readAddress)
    277. 
  
  
  
  
  277.     }
    278. 
  
  
  
  
  278.     currentAddress = currentAddress.add(4)
    279. 
  
  
  
  
  279.   }
    280. 
  
  
  
  
  280. }
    281. 
  
  
  
  
  281. 
  
  
  
  
  282. function dumpBSTR(address) {
    283. 
  
  
  
  
  283.   log('[+] address: ' + address);
    284. 
  
  
  
  
  284. 
  
  
  
  
  285.   if (address.isNull())
    286. 
  
  
  
  
  286.     return
    287. 
  
  
  
  
  287. 
  
  
  
  
  288.   var length = ptr(address - 4).readULong(4);
    289. 
  
  
  
  
  289.   log("length: " + length)
    290. 
  
  
  
  
  290.   var data = ptr(address).readByteArray(length);
    291. 
  
  
  
  
  291.   log(hexdump(data, {
    292. 
  
  
  
  
  292.     offset: 0,
    293. 
  
  
  
  
  293.     length: length,
    294. 
  
  
  
  
  294.     header: true,
    295. 
  
  
  
  
  295.     ansi: false
    296. 
  
  
  
  
  296.   }));
    297. 
  
  
  
  
  297. }
    298. 
  
  
  
  
  298. 
  
  
  
  
  299. function getString(address) {
    300. 
  
  
  
  
  300.   if (address.isNull())
    301. 
  
  
  
  
  301.     return
    302. 
  
  
  
  
  302. 
  
  
  
  
  303.   var dataString = ''
    304. 
  
  
  
  
  304. 
  
  
  
  
  305.   var offset = 0
    306. 
  
  
  
  
  306.   var stringEnded = false
    307. 
  
  
  
  
  307.   while (!stringEnded) {
    308. 
  
  
  
  
  308.     var data = new Uint8Array(ptr(address.add(offset)).readByteArray(10));
    309. 
  
  
  
  
  309. 
  
  
  
  
  310.     if (data.length <= 0) {
    311. 
  
  
  
  
  311.       break
    312. 
  
  
  
  
  312.     }
    313. 
  
  
  
  
  313. 
  
  
  
  
  314.     var i;
    315. 
  
  
  
  
  315.     for (i = 0; i < data.length; i++) {
    316. 
  
  
  
  
  316.       if (data[i] == 0x0) {
    317. 
  
  
  
  
  317.         stringEnded = true
    318. 
  
  
  
  
  318.         break
    319. 
  
  
  
  
  319.       }
    320. 
  
  
  
  
  320.       dataString += String.fromCharCode(data[i])
    321. 
  
  
  
  
  321.     }
    322. 
  
  
  
  
  322.     offset += data.length
    323. 
  
  
  
  
  323.   }
    324. 
  
  
  
  
  324. 
  
  
  
  
  325.   log("dataString: " + dataString)
    326. 
  
  
  
  
  326.   return dataString;
    327. 
  
  
  
  
  327. }
    328. 
  
  
  
  
  328. 
  
  
  
  
  329. function dumpWSTR(address) {
    330. 
  
  
  
  
  330.   if (address.isNull())
    331. 
  
  
  
  
  331.     return
    332. 
  
  
  
  
  332. 
  
  
  
  
  333.   var dataString = ''
    334. 
  
  
  
  
  334. 
  
  
  
  
  335.   var offset = 0
    336. 
  
  
  
  
  336.   var stringEnded = false
    337. 
  
  
  
  
  337.   while (!stringEnded) {
    338. 
  
  
  
  
  338.     var data = new Uint8Array(ptr(address.add(offset)).readByteArray(20));
    339. 
  
  
  
  
  339. 
  
  
  
  
  340.     if (data.length <= 0) {
    341. 
  
  
  
  
  341.       break
    342. 
  
  
  
  
  342.     }
    343. 
  
  
  
  
  343. 
  
  
  
  
  344.     var i;
    345. 
  
  
  
  
  345.     for (i = 0; i < data.length; i += 2) {
    346. 
  
  
  
  
  346.       if (data[i] == 0x0 && data[i + 1] == 0x0) {
    347. 
  
  
  
  
  347.         stringEnded = true
    348. 
  
  
  
  
  348.         break
    349. 
  
  
  
  
  349.       }
    350. 
  
  
  
  
  350.       dataString += String.fromCharCode(data[i])
    351. 
  
  
  
  
  351.     }
    352. 
  
  
  
  
  352.     offset += data.length
    353. 
  
  
  
  
  353.   }
    354. 
  
  
  
  
  354. 
  
  
  
  
  355.   log("dataString: " + dataString)
    356. 
  
  
  
  
  356.   return dataString;
    357. 
  
  
  
  
  357. }
    358. 
  
  
  
  
  358. 
  
  
  
  
  359. function hookRtcShell(moduleName) {
    360. 
  
  
  
  
  360.   hookFunction(moduleName, "rtcShell", {
    361. 
  
  
  
  
  361.     onEnter: function (args) {
    362. 
  
  
  
  
  362.       log("[+] rtcShell")
    363. 
  
  
  
  
  363.       var variantArg = ptr(args[0])
    364. 
  
  
  
  
  364.       dumpAddress(variantArg);
    365. 
  
  
  
  
  365.       var bstrPtr = ptr(variantArg.add(8).readULong())
    366. 
  
  
  
  
  366.       dumpBSTR(bstrPtr);
    367. 
  
  
  
  
  367.     }
    368. 
  
  
  
  
  368.   })
    369. 
  
  
  
  
  369. }
    370. 
  
  
  
  
  370. 
  
  
  
  
  371. function hookVBAStrCat(moduleName) {
    372. 
  
  
  
  
  372.   hookFunction(moduleName, "__vbaStrCat", {
    373. 
  
  
  
  
  373.     onEnter: function (args) {
    374. 
  
  
  
  
  374.       log("[+] __vbaStrCat")
    375. 
  
  
  
  
  375.       // log('[+] ' + name);
    376. 
  
  
  
  
  376.       // dumpBSTR(args[0]);
    377. 
  
  
  
  
  377.       // dumpBSTR(args[1]);
    378. 
  
  
  
  
  378.     },
    379. 
  
  
  
  
  379.     onLeave: function (retval) {
    380. 
  
  
  
  
  380.       dumpBSTR(retval);
    381. 
  
  
  
  
  381.     }
    382. 
  
  
  
  
  382.   })
    383. 
  
  
  
  
  383. }
    384. 
  
  
  
  
  384. 
  
  
  
  
  385. function hookVBAStrComp(moduleName) {
    386. 
  
  
  
  
  386.   hookFunction(moduleName, "__vbaStrComp", {
    387. 
  
  
  
  
  387.     onEnter: function (args) {
    388. 
  
  
  
  
  388.       log('[+] __vbaStrComp');
    389. 
  
  
  
  
  389.       log(ptr(args[1]).readUtf16String())
    390. 
  
  
  
  
  390.       log(ptr(args[2]).readUtf16String())
    391. 
  
  
  
  
  391.     }
    392. 
  
  
  
  
  392.   })
    393. 
  
  
  
  
  393. }
    394. 
  
  
  
  
  394. 
  
  
  
  
  395. function hookRtcCreateObject(moduleName) {
    396. 
  
  
  
  
  396.   hookFunction(moduleName, "rtcCreateObject", {
    397. 
  
  
  
  
  397.     onEnter: function (args) {
    398. 
  
  
  
  
  398.       log('[+] rtcCreateObject');
    399. 
  
  
  
  
  399.       dumpAddress(args[0]);
    400. 
  
  
  
  
  400.       dumpBSTR(args[0]);
    401. 
  
  
  
  
  401.       log(ptr(args[0]).readUtf16String())
    402. 
  
  
  
  
  402.     },
    403. 
  
  
  
  
  403.     onLeave: function (retval) {
    404. 
  
  
  
  
  404.       dumpAddress(retval);
    405. 
  
  
  
  
  405.     }
    406. 
  
  
  
  
  406.   })
    407. 
  
  
  
  
  407. }
    408. 
  
  
  
  
  408. 
  
  
  
  
  409. function hookRtcCreateObject2(moduleName) {
    410. 
  
  
  
  
  410.   hookFunction(moduleName, "rtcCreateObject2", {
    411. 
  
  
  
  
  411.     onEnter: function (args) {
    412. 
  
  
  
  
  412.       log('[+] rtcCreateObject2');
    413. 
  
  
  
  
  413.       dumpAddress(args[0]);
    414. 
  
  
  
  
  414.       dumpBSTR(args[1]);
    415. 
  
  
  
  
  415.       log(ptr(args[2]).readUtf16String())
    416. 
  
  
  
  
  416.     },
    417. 
  
  
  
  
  417.     onLeave: function (retval) {
    418. 
  
  
  
  
  418.       dumpAddress(retval);
    419. 
  
  
  
  
  419.     }
    420. 
  
  
  
  
  420.   })
    421. 
  
  
  
  
  421. }
    422. 
  
  
  
  
  422. 
  
  
  
  
  423. //  int __stdcall CVbeProcs::CallMacro(CVbeProcs *this, const wchar_t *)
    424. 
  
  
  
  
  424. function hookCVbeProcsCallMacro(moduleName) {
    425. 
  
  
  
  
  425.   hookFunction(moduleName, "CVbeProcs::CallMacro", {
    426. 
  
  
  
  
  426.     onEnter: function (args) {
    427. 
  
  
  
  
  427.       log('[+] CVbeProcs::CallMacro');
    428. 
  
  
  
  
  428.       dumpAddress(args[0]);
    429. 
  
  
  
  
  429.       dumpWSTR(args[1]);
    430. 
  
  
  
  
  430.     },
    431. 
  
  
  
  
  431.     onLeave: function (retval) {
    432. 
  
  
  
  
  432.       dumpAddress(retval);
    433. 
  
  
  
  
  433.     }
    434. 
  
  
  
  
  434.   })
    435. 
  
  
  
  
  435. }
    436. 
  
  
  
  
  436. 
  
  
  
  
  437. function hookDispCall(moduleName) {
    438. 
  
  
  
  
  438.   hookFunction(moduleName, "DispCallFunc", {
    439. 
  
  
  
  
  439.     onEnter: function (args) {
    440. 
  
  
  
  
  440.       log("[+] DispCallFunc")
    441. 
  
  
  
  
  441.       var pvInstance = args[0]
    442. 
  
  
  
  
  442.       var oVft = args[1]
    443. 
  
  
  
  
  443.       var instance = ptr(ptr(pvInstance).readULong());
    444. 
  
  
  
  
  444. 
  
  
  
  
  445.       log(' instance:' + instance);
    446. 
  
  
  
  
  446.       log(' oVft:' + oVft);
    447. 
  
  
  
  
  447.       var vftbPtr = instance.add(oVft)
    448. 
  
  
  
  
  448.       log(' vftbPtr:' + vftbPtr);
    449. 
  
  
  
  
  449.       var functionAddress = ptr(ptr(vftbPtr).readULong())
    450. 
  
  
  
  
  450. 
  
  
  
  
  451.       loadModuleForAddress(functionAddress)
    452. 
  
  
  
  
  452.       var functionName = DebugSymbol.fromAddress(functionAddress)
    453. 
  
  
  
  
  453. 
  
  
  
  
  454.       if (functionName) {
    455. 
  
  
  
  
  455.         log(' functionName:' + functionName);
    456. 
  
  
  
  
  456.       }
    457. 
  
  
  
  
  457. 
  
  
  
  
  458.       dumpAddress(functionAddress);
    459. 
  
  
  
  
  459. 
  
  
  
  
  460.       var currentAddress = functionAddress
    461. 
  
  
  
  
  461.       for (var i = 0; i < 10; i++) {
    462. 
  
  
  
  
  462.         try {
    463. 
  
  
  
  
  463.           var instruction = Instruction.parse(currentAddress)
    464. 
  
  
  
  
  464.           log(instruction.address + ': ' + instruction.mnemonic + ' ' + instruction.opStr)
    465. 
  
  
  
  
  465.           currentAddress = instruction.next
    466. 
  
  
  
  
  466.         } catch (err) {
    467. 
  
  
  
  
  467.           break
    468. 
  
  
  
  
  468.         }
    469. 
  
  
  
  
  469.       }
    470. 
  
  
  
  
  470.     }
    471. 
  
  
  
  
  471.   })
    472. 
  
  
  
  
  472. }
    473. 
  
  
  
  
  473. 
  
  
  
  
  474. hookRtcShell('vbe7')
    475. 
  
  
  
  
  475. hookVBAStrCat('vbe7')
    476. 
  
  
  
  
  476. hookVBAStrComp('vbe7')
    477. 
  
  
  
  
  477. hookRtcCreateObject('vbe7')
    478. 
  
  
  
  
  478. hookRtcCreateObject2('vbe7')
    479. 
  
  
  
  
  479. hookCVbeProcsCallMacro('vbe7')
    480. 
  
  
  
  
  480. hookDispCall('oleaut32')
    481.

設(shè)置符號路徑

在Windows環(huán)境下設(shè)置符號服務(wù)器有多種方法,建議你從命令行設(shè)置_NT_SYMBOL_PATH變量。Windows調(diào)試器的符號路徑對變量的用法有很好的描述。

https://docs.microsoft.com/en-us/windows-hardware/drivers/debugger/symbol-path
以下將使用“ c:\ symbols”作為其本地符號存儲來緩存正式的Microsoft符號服務(wù)器。

setx _NT_SYMBOL_PATH SRV*c:\symbols*https://msdl.microsoft.com/download/symbols
以下命令將使系統(tǒng)使用默認(rèn)的符號存儲目錄。

setx _NT_SYMBOL_PATH SRV*https://msdl.microsoft.com/download/symbols
運行惡意軟件并觀察行為

我們使用以下示例測試Frida的符號查找功能。惡意樣本做了一些混淆,可以使用Frida hook輕松分析。

我們在此處提供的代碼可從以下GitHub存儲庫中找到。

 
 
 
 
    
  
  
  
  
  1. https://github.com/ohjeongwook/Frida.examples.vbe
    2. 
  
  
  
  
  2. 
  
  
  
  
  3. var loadedModules = {}
    4. 
  
  
  
  
  4. var resolvedAddresses = {}
    5. 
  
  
  
  
  5. 
  
  
  
  
  6. function resolveName(dllName, name) {
    7. 
  
  
  
  
  7.   var moduleName = dllName.split('.')[0]
    8. 
  
  
  
  
  8.   var functionName = moduleName + "!" + name
    9. 
  
  
  
  
  9. 
  
  
  
  
  10.   if (functionName in resolvedAddresses) {
    11. 
  
  
  
  
  11.     return resolvedAddresses[functionName]
    12. 
  
  
  
  
  12.   }
    13. 
  
  
  
  
  13. 
  
  
  
  
  14.   log("resolveName " + functionName);
    15. 
  
  
  
  
  15.   log("Module.findExportByName " + dllName + " " + name);
    16. 
  
  
  
  
  16.   var addr = Module.findExportByName(dllName, name)
    17. 
  
  
  
  
  17. 
  
  
  
  
  18.   if (!addr || addr.isNull()) {
    19. 
  
  
  
  
  19.     if (!(dllName in loadedModules)) {
    20. 
  
  
  
  
  20.       log(" DebugSymbol.loadModule " + dllName);
    21. 
  
  
  
  
  21. 
  
  
  
  
  22.       try {
    23. 
  
  
  
  
  23.         DebugSymbol.load(dllName)
    24. 
  
  
  
  
  24.       } catch (err) {
    25. 
  
  
  
  
  25.         return 0;
    26. 
  
  
  
  
  26.       }
    27. 
  
  
  
  
  27. 
  
  
  
  
  28.       log(" DebugSymbol.load finished");
    29. 
  
  
  
  
  29.       loadedModules[dllName] = 1
    30. 
  
  
  
  
  30.     }
    31. 
  
  
  
  
  31. 
  
  
  
  
  32.     try {
    33. 
  
  
  
  
  33.       log(" DebugSymbol.getFunctionByName: " + functionName);
    34. 
  
  
  
  
  34.       addr = DebugSymbol.getFunctionByName(moduleName + '!' + name)
    35. 
  
  
  
  
  35.       log(" DebugSymbol.getFunctionByName: addr = " + addr);
    36. 
  
  
  
  
  36.     } catch (err) {
    37. 
  
  
  
  
  37.       log(" DebugSymbol.getFunctionByName: Exception")
    38. 
  
  
  
  
  38.     }
    39. 
  
  
  
  
  39.   }
    40. 
  
  
  
  
  40. 
  
  
  
  
  41.   resolvedAddresses[functionName] = addr
    42. 
  
  
  
  
  42.   return addr
    43. 
  
  
  
  
  43. }
    44.

因此,當(dāng)你啟動Word進(jìn)程且進(jìn)程ID為3064時,可以使用以下命令從存儲庫中包含的vbe.js安裝hook。安裝hook之后,你可以打開惡意文檔以觀察其行為

 
 
 
 
    
  
  
  
  
  1. > python inject.py -p 3064 vbe.js
    2. 
  
  
  
  
  2. 
  
  
  
  
  3. resolveName vbe7!rtcShell
    4. 
  
  
  
  
  4. Module.findExportByName vbe7 rtcShell
    5. 
  
  
  
  
  5. Interceptor.attach: vbe7!rtcShell@0x652a2b76
    6. 
  
  
  
  
  6. resolveName vbe7!__vbaStrCat
    7. 
  
  
  
  
  7. Module.findExportByName vbe7 __vbaStrCat
    8. 
  
  
  
  
  8.  DebugSymbol.loadModule vbe7
    9. 
  
  
  
  
  9.  DebugSymbol.load finished
    10. 
  
  
  
  
  10.  DebugSymbol.getFunctionByName: vbe7!__vbaStrCat
    11. 
  
  
  
  
  11.  DebugSymbol.getFunctionByName: addr = 0x651e53e6
    12. 
  
  
  
  
  12. Interceptor.attach: vbe7!__vbaStrCat@0x651e53e6
    13. 
  
  
  
  
  13. resolveName vbe7!__vbaStrComp
    14. 
  
  
  
  
  14. Module.findExportByName vbe7 __vbaStrComp
    15. 
  
  
  
  
  15.  DebugSymbol.getFunctionByName: vbe7!__vbaStrComp
    16. 
  
  
  
  
  16.  DebugSymbol.getFunctionByName: addr = 0x651e56a2
    17. 
  
  
  
  
  17. Interceptor.attach: vbe7!__vbaStrComp@0x651e56a2
    18. 
  
  
  
  
  18. resolveName vbe7!rtcCreateObject
    19. 
  
  
  
  
  19. Module.findExportByName vbe7 rtcCreateObject
    20. 
  
  
  
  
  20. Interceptor.attach: vbe7!rtcCreateObject@0x653e6e4c
    21. 
  
  
  
  
  21. resolveName vbe7!rtcCreateObject2
    22. 
  
  
  
  
  22. Module.findExportByName vbe7 rtcCreateObject2
    23. 
  
  
  
  
  23. Interceptor.attach: vbe7!rtcCreateObject2@0x653e6ece
    24. 
  
  
  
  
  24. resolveName vbe7!CVbeProcs::CallMacro
    25. 
  
  
  
  
  25. Module.findExportByName vbe7 CVbeProcs::CallMacro
    26. 
  
  
  
  
  26.  DebugSymbol.getFunctionByName: vbe7!CVbeProcs::CallMacro
    27. 
  
  
  
  
  27.  DebugSymbol.getFunctionByName: addr = 0x6529019b
    28. 
  
  
  
  
  28. Interceptor.attach: vbe7!CVbeProcs::CallMacro@0x6529019b
    29. 
  
  
  
  
  29. resolveName oleaut32!DispCallFunc
    30. 
  
  
  
  
  30. Module.findExportByName oleaut32 DispCallFunc
    31. 
  
  
  
  
  31. Interceptor.attach: oleaut32!DispCallFunc@0x747995b0
    32. 
  
  
  
  
  32. [!] Ctrl+D on UNIX, Ctrl+Z on Windows/cmd.exe to detach from instrumented program.
    33.

hook監(jiān)控office的宏行為

vbe.js很少有hook來監(jiān)視惡意Office文檔的行為。

__vbaStrCat

vbe7.dll是已找到Visual Basic運行時引擎的DLL,里面有很多有趣的函數(shù)。但是首先,我們想觀察字符串去混淆操作

vbe7!__ vbaStrCat是在Visual Basic中串聯(lián)字符串時調(diào)用的函數(shù)。

.text:651E53E6 ; __stdcall __vbaStrCat(x, x)
.text:651E53E6 ___vbaStrCat@8 proc near ; CODE XREF: _lblEX_ConcatStr↑p
許多基于宏的惡意軟件文檔都使用基于字符串的混淆。通過觀察字符串的動作,你可以觀察最終的去混淆字符串的構(gòu)造。

以下hook代碼將為每個調(diào)用打印出連接的字符串。

 
 
 
 
    
  
  
  
  
  1. https://github.com/ohjeongwook/Frida.examples.vbe/blob/master/vbe.js
    2. 
  
  
  
  
  2. 
  
  
  
  
  3. 
  
  
  
  
  4. var loadedModules = {}
    5. 
  
  
  
  
  5. var resolvedAddresses = {}
    6. 
  
  
  
  
  6. 
  
  
  
  
  7. function resolveName(dllName, name) {
    8. 
  
  
  
  
  8.   var moduleName = dllName.split('.')[0]
    9. 
  
  
  
  
  9.   var functionName = moduleName + "!" + name
    10. 
  
  
  
  
  10. 
  
  
  
  
  11.   if (functionName in resolvedAddresses) {
    12. 
  
  
  
  
  12.     return resolvedAddresses[functionName]
    13. 
  
  
  
  
  13.   }
    14. 
  
  
  
  
  14. 
  
  
  
  
  15.   log("resolveName " + functionName);
    16. 
  
  
  
  
  16.   log("Module.findExportByName " + dllName + " " + name);
    17. 
  
  
  
  
  17.   var addr = Module.findExportByName(dllName, name)
    18. 
  
  
  
  
  18. 
  
  
  
  
  19.   if (!addr || addr.isNull()) {
    20. 
  
  
  
  
  20.     if (!(dllName in loadedModules)) {
    21. 
  
  
  
  
  21.       log(" DebugSymbol.loadModule " + dllName);
    22. 
  
  
  
  
  22. 
  
  
  
  
  23.       try {
    24. 
  
  
  
  
  24.         DebugSymbol.load(dllName)
    25. 
  
  
  
  
  25.       } catch (err) {
    26. 
  
  
  
  
  26.         return 0;
    27. 
  
  
  
  
  27.       }
    28. 
  
  
  
  
  28. 
  
  
  
  
  29.       log(" DebugSymbol.load finished");
    30. 
  
  
  
  
  30.       loadedModules[dllName] = 1
    31. 
  
  
  
  
  31.     }
    32. 
  
  
  
  
  32. 
  
  
  
  
  33.     try {
    34. 
  
  
  
  
  34.       log(" DebugSymbol.getFunctionByName: " + functionName);
    35. 
  
  
  
  
  35.       addr = DebugSymbol.getFunctionByName(moduleName + '!' + name)
    36. 
  
  
  
  
  36.       log(" DebugSymbol.getFunctionByName: addr = " + addr);
    37. 
  
  
  
  
  37.     } catch (err) {
    38. 
  
  
  
  
  38.       log(" DebugSymbol.getFunctionByName: Exception")
    39. 
  
  
  
  
  39.     }
    40. 
  
  
  
  
  40.   }
    41. 
  
  
  
  
  41. 
  
  
  
  
  42.   resolvedAddresses[functionName] = addr
    43. 
  
  
  
  
  43.   return addr
    44. 
  
  
  
  
  44. }
    45. 
  
  
  
  
  45. 
  
  
  
  
  46. function loadModuleForAddress(address) {
    47. 
  
  
  
  
  47.   var modules = Process.enumerateModules()
    48. 
  
  
  
  
  48. 
  
  
  
  
  49.   var i
    50. 
  
  
                                                 
    
                                                分享標(biāo)題:使用Frida對Windows平臺的程序進(jìn)行逆向分析                                                
    
                                                網(wǎng)站網(wǎng)址:http://www.dlmjj.cn/article/dhcedjo.html