再谈:Norton误报WinXP事件的技术分析 二

2024-01-18 00:18

本文主要是介绍再谈:Norton误报WinXP事件的技术分析 二,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

看到了不少读者对于我“对Norton误报WinXP事件的技术分析”的反馈。在这里,首先我感谢这些阅读了我的blog并提供宝贵意见的读者,不管是支持还是反对我的观点。

明显,我的第一篇blog提供的技术细节不够。这里向大家抱歉。
综合一下,有三个问题我没有说清楚。
第一, 为什么可能一个错误的特征码会只误报XP中文版的系统文件?
第二, 如何验证XP中文版的系统文件是否有特殊代码?如何使用我提及的各种工具?
第三, 我写这篇blog的目的是什么?
我们先来看第一个问题。
我在上篇blog中提及,如果 收到的病毒样本是基于 WinXP 中文版的 Lsasrv.dll 的修改,而特征码提取在系统文件中未经修改的部分,这个特征码就会误报原始的 WinXP 中文版的 Lsasrv.dll ,而且,不会匹配(误报) WinXP 英文版的 Lsasrv.dll
下面给大家举一个简化的例子。
英文版程序
// US-Sample.cpp
//
 
#include "stdafx.h"
void foo( char * strMsg );
 
int _tmain(int argc, _TCHAR* argv[])
{
    char * strVersion = "This is DLL version 1.0";
    foo( strVersion );
    return 0;
}
 
void foo( char * strMsg )
{
    printf( "%s/n", strMsg );
}
中文版程序
// CHS-sample.cpp
//
 
#include "stdafx.h"
void foo( char * strMsg );
 
int _tmain(int argc, _TCHAR* argv[])
{
    char * strVersion = "这是DLL版本1.0";
    foo( strVersion );
    return 0;
}
 
void foo( char * strMsg )
{
    printf( "%s/n", strMsg );
}
这两个程序功能上是一样的,区别只在字符串资源的本地化。
用VS2003编译, Debug version。
如果一个恶意的攻击者修改中文版程序,也就是CHS-sample.exe,可以直接在汇编代码层次修改。
这就是用Hiew攻击打开CHS-sample.exe。这三条指令就是调用printf函数。
 
我们修改为
并保存为CHS-Sample2.exe。
执行CHS-Sample2.exe,就会出现以下对话框,因为执行了我们刚刚加入的int 3 指令。
 
WinDBG信息:
CHS_sample!foo+0x27:
00000000`00411ac7 cc              int     3
0:000:x86> k
ChildEBP          RetAddr          
0017fdd8 00411a6e CHS_sample!foo+0x27
0017febc 00411e10 CHS_sample!main+0x2e
0017ffa0 766c19f1 CHS_sample!mainCRTStartup+0x170
0017ffac 7772d109 kernel32!BaseThreadInitThunk+0xe
0017ffec 00000000 ntdll32!RtlCreateUserProcess+0x8c
注意到CHS-Sample.exe和CHS-Sample2.exe的区别是非常小的。
如果决定检测CHS-Sample2.exe,而特征码提取的部分没有包括到修改的这几条指令,例如计算从偏移量0开始的0x400个字节的MD5,那么这个特征码就只会误报CHS-Sample.exe,而不会误报US-Sample.exe。
下面,我们来看第二个问题。
如何验证XP中文版的系统文件是否有特殊代码?如何使用我提及的各种工具?
最为直接的方式是使用IDA将中文版本的Lsasrv.dll和英文版本的Lsasrv.dll调入。就可以一个一个对比函数的实现。如果有更加高级的程序分析软件(分析汇编指令的数据流和控制流),可以更方便地比较。
不过,因为IDA不是免费的。这里描述一下如何用WinDBG加上公共符号库(public symbol)来做到这一点。
WinDBG可以从 http://www.microsoft.com/whdc/devtools/debugging/default.mspx下载。
1)使用WinDBG attach lsass.exe。启动WinDBG, F6。
2)创建crash dump
.dump c:/test/lsasrv-chs.dump
3)Detach WinDBg,这样可以不影响系统的正常使用。注意是Detach,而不是直接关闭WinDBG
4)用WinDBG打开Crash Dump.
Windbg –z c:/test/lsasrv-chs.dump
5)使用公共符号
.sympath srv*c:/test/*http://msdl.microsoft.com/download/symbols
6)重新加载Lsasrv.dll的symbol
.reload –f lsasrv.dll
7)查看各个函数的实现
0:026> lmvm lsasrv
start    end        module name
75730000 757e4000   lsasrv     (pdb symbols)          c:/test/lsasrv.pdb/C059631A2E3447139752DB410D8884392/lsasrv.pdb
    Loaded symbol image file: lsasrv.dll
    Mapped memory image file: c:/test/lsasrv.dll/44E460EBb4000/lsasrv.dll
    Image path: C:/WINDOWS/system32/lsasrv.dll
    Image name: lsasrv.dll
    Timestamp:        Thu Aug 17 05:28:27 2006 (44E460EB)
    CheckSum:         000BF9DC
    ImageSize:        000B4000
    File version:     5.1.2600.2976
    Product version:  5.1.2600.2976
    File flags:       0 (Mask 3F)
    File OS:          40004 NT Win32
    File type:        2.0 Dll
    File date:        00000000.00000000
    Translations:     0409.04b0
    CompanyName:      Microsoft Corporation
    ProductName:      Microsoft® Windows® Operating System
    InternalName:     lsasrv.dll
    OriginalFilename: lsasrv.dll
    ProductVersion:   5.1.2600.2976
    FileVersion:      5.1.2600.2976 (xpsp_sp2_gdr.060817-0106)
    FileDescription:  LSA Server DLL
LegalCopyright:   © Microsoft Corporation. All rights reserved.
 
0:026> x lsasrv!*lsa*
757385cf lsasrv!LsapDbQueryInformationPolicy =
75799b94 lsasrv!LsarQueryForestTrustInformation =
75770028 lsasrv!LsapTruncateUnicodeString =
7578be3c lsasrv!LsapWinerrorToNtStatus =
757cf088 lsasrv!LsapSecpkgFunctionTable =
757aad1a lsasrv!LsapDsOpenObject =
757a3859 lsasrv!LsarQueryTrustedDomainInfo =
... ... (省略若干行输出)
0:026> u lsasrv!LsapDsOpenObject
lsasrv!LsapDsOpenObject:
757aad1a 8bff            mov     edi,edi
757aad1c 55              push    ebp
757aad1d 8bec            mov     ebp,esp
757aad1f 83ec2c          sub     esp,2Ch
757aad22 8365fc00        and     dword ptr [ebp-4],0
757aad26 53              push    ebx
757aad27 8b5d08          mov     ebx,dword ptr [ebp+8]
757aad2a 8b4330          mov     eax,dword ptr [ebx+30h]
 0:026> u
lsasrv!LsapDsOpenObject+0x13:
757aad2d 8bc8            mov     ecx,eax
757aad2f 49              dec     ecx
757aad30 49              dec     ecx
757aad31 c645f800        mov     byte ptr [ebp-8],0
757aad35 7417            je      lsasrv!LsapDsOpenObject+0x34 (757aad4e)
757aad37 49              dec     ecx
757aad38 49              dec     ecx
757aad39 740a            je      lsasrv!LsapDsOpenObject+0x2b (757aad45)
0:026> u
lsasrv!LsapDsOpenObject+0x21:
757aad3b b80d0000c0      mov     eax,0C000000Dh
757aad40 e99e000000      jmp     lsasrv!LsapDsOpenObject+0xc9 (757aade3)
757aad45 c745081c000a00  mov     dword ptr [ebp+8],0A001Ch
757aad4c eb07            jmp     lsasrv!LsapDsOpenObject+0x3b (757aad55)
757aad4e c7450822000a00  mov     dword ptr [ebp+8],0A0022h
757aad55 56              push    esi
757aad56 8d4df8          lea     ecx,[ebp-8]
757aad59 51              push    ecx
采用这个办法可以一一查看和对比中文版和英文版的Lsasrv.dll的各个函数的实现。例如,对于对于 lsasrv!LsapDsOpenObject ,中文版本 5.1.2600.2976 的实现如下,
0:025> lmvm lsasrv
start    end        module name
74480000 7452e000   lsasrv     (pdb symbols)          c:/test/lsasrv.pdb/C059631A2E3447139752DB410D8884392/lsasrv.pdb
    Loaded symbol image file: lsasrv.dll
    Mapped memory image file: c:/test/lsasrv.dll/44E4613Cae000/lsasrv.dll
    Image path: C:/WINDOWS/system32/lsasrv.dll
    Image name: lsasrv.dll
    Timestamp:        Thu Aug 17 05:29:48 2006 (44E4613C)
    CheckSum:         000BA5F0
    ImageSize:        000AE000
    File version:     5.1.2600.2976
    Product version:  5.1.2600.2976
    File flags:       0 (Mask 3F)
    File OS:          40004 NT Win32
    File type:        2.0 Dll
    File date:        00000000.00000000
    Translations:     0804.04b0
    CompanyName:      Microsoft Corporation
    ProductName:      Microsoft(R) Windows(R) Operating System
    InternalName:     lsasrv.dll
    OriginalFilename: lsasrv.dll
    ProductVersion:   5.1.2600.2976
    FileVersion:      5.1.2600.2976 (xpsp_sp2_gdr.060817-0106)
    FileDescription:  LSA Server DLL
    LegalCopyright:   (C) Microsoft Corporation. All rights reserved.
0:025> u lsasrv!LsapDsOpenObject
lsasrv!LsapDsOpenObject:
744fad1a 8bff            mov     edi,edi
744fad1c 55              push    ebp
744fad1d 8bec            mov     ebp,esp
744fad1f 83ec2c          sub     esp,2Ch
744fad22 8365fc00        and     dword ptr [ebp-4],0
744fad26 53              push    ebx
744fad27 8b5d08          mov     ebx,dword ptr [ebp+8]
744fad2a 8b4330          mov     eax,dword ptr [ebx+30h]
0:025> u
lsasrv!LsapDsOpenObject+0x13:
744fad2d 8bc8            mov     ecx,eax
744fad2f 49              dec     ecx
744fad30 49              dec     ecx
744fad31 c645f800        mov     byte ptr [ebp-8],0
744fad35 7417            je      lsasrv!LsapDsOpenObject+0x34 (744fad4e)
744fad37 49              dec     ecx
744fad38 49              dec     ecx
744fad39 740a            je      lsasrv!LsapDsOpenObject+0x2b (744fad45)
0:025> u
lsasrv!LsapDsOpenObject+0x21:
744fad3b b80d0000c0      mov     eax,0C000000Dh
744fad40 e99e000000      jmp     lsasrv!LsapDsOpenObject+0xc9 (744fade3)
744fad45 c745081c000a00  mov     dword ptr [ebp+8],0A001Ch
744fad4c eb07            jmp     lsasrv!LsapDsOpenObject+0x3b (744fad55)
744fad4e c7450822000a00  mov     dword ptr [ebp+8],0A0022h
744fad55 56              push    esi
744fad56 8d4df8          lea     ecx,[ebp-8]
744fad59 51              push    ecx
通过对比,可以看出,它们之间的区别只在于变量和代码的偏移量,其功能是完全一致的。
采用这个办法,你可以对比其它函数的实现,以及其它系统DLL,如kernel32.dll,ntdll.dll等等。
最后,我回答一下写这篇blog的目的是什么?先感谢你阅读了这么长而且枯燥的技术阐述。相对于“XP系统文件可能存在后门”的新闻,技术阐述不会更加吸引眼球,但是它却更接近事实。给大家提供一个从技术角度的分析,就是我的目的。而我也个人认为,这对我们软件业的发展会有好处。
又及,我所指的“摒弃浮躁”,具体是指,与其花时间做无谓的猜测,不如静下心研究技术掌握技术。
再次感谢你读了这么长的blog。
6/17更新
后记:
盆盆一篇不错的评论“也谈 Norton 错杀 Windows XP
http://blogs.itecn.net/blogs/ahpeng/archive/2007/06/15/NortonKillXP.aspx
盆盆的文采胜我颇多。
我的这篇blog的目的就是为了技术上分析 Norton 误杀 Windows XP 中文版系统文件的原因。讨论时候,就事论事。或许有人压根就不关心这个问题的答案。每个人都有自由选择相信什么,但是诸如“是否是中国人”的言语无助于任何理性的讨论。
喊几句大口号非常容易,但我看不出这能如何真正提高我们的信息安全水平。技术不是全部,但不懂技术,试问又如何保障安全?



这篇关于再谈:Norton误报WinXP事件的技术分析 二的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/617614

相关文章

性能分析之MySQL索引实战案例

文章目录 一、前言二、准备三、MySQL索引优化四、MySQL 索引知识回顾五、总结 一、前言 在上一讲性能工具之 JProfiler 简单登录案例分析实战中已经发现SQL没有建立索引问题,本文将一起从代码层去分析为什么没有建立索引? 开源ERP项目地址:https://gitee.com/jishenghua/JSH_ERP 二、准备 打开IDEA找到登录请求资源路径位置

禁止平板,iPad长按弹出默认菜单事件

通过监控按下抬起时间差来禁止弹出事件,把以下代码写在要禁止的页面的页面加载事件里面即可     var date;document.addEventListener('touchstart', event => {date = new Date().getTime();});document.addEventListener('touchend', event => {if (new

【专题】2024飞行汽车技术全景报告合集PDF分享(附原数据表)

原文链接: https://tecdat.cn/?p=37628 6月16日,小鹏汇天旅航者X2在北京大兴国际机场临空经济区完成首飞,这也是小鹏汇天的产品在京津冀地区进行的首次飞行。小鹏汇天方面还表示,公司准备量产,并计划今年四季度开启预售小鹏汇天分体式飞行汽车,探索分体式飞行汽车城际通勤。阅读原文,获取专题报告合集全文,解锁文末271份飞行汽车相关行业研究报告。 据悉,业内人士对飞行汽车行业

金融业开源技术 术语

金融业开源技术  术语 1  范围 本文件界定了金融业开源技术的常用术语。 本文件适用于金融业中涉及开源技术的相关标准及规范性文件制定和信息沟通等活动。

SWAP作物生长模型安装教程、数据制备、敏感性分析、气候变化影响、R模型敏感性分析与贝叶斯优化、Fortran源代码分析、气候数据降尺度与变化影响分析

查看原文>>>全流程SWAP农业模型数据制备、敏感性分析及气候变化影响实践技术应用 SWAP模型是由荷兰瓦赫宁根大学开发的先进农作物模型,它综合考虑了土壤-水分-大气以及植被间的相互作用;是一种描述作物生长过程的一种机理性作物生长模型。它不但运用Richard方程,使其能够精确的模拟土壤中水分的运动,而且耦合了WOFOST作物模型使作物的生长描述更为科学。 本文让更多的科研人员和农业工作者

MOLE 2.5 分析分子通道和孔隙

软件介绍 生物大分子通道和孔隙在生物学中发挥着重要作用,例如在分子识别和酶底物特异性方面。 我们介绍了一种名为 MOLE 2.5 的高级软件工具,该工具旨在分析分子通道和孔隙。 与其他可用软件工具的基准测试表明,MOLE 2.5 相比更快、更强大、功能更丰富。作为一项新功能,MOLE 2.5 可以估算已识别通道的物理化学性质。 软件下载 https://pan.quark.cn/s/57

衡石分析平台使用手册-单机安装及启动

单机安装及启动​ 本文讲述如何在单机环境下进行 HENGSHI SENSE 安装的操作过程。 在安装前请确认网络环境,如果是隔离环境,无法连接互联网时,请先按照 离线环境安装依赖的指导进行依赖包的安装,然后按照本文的指导继续操作。如果网络环境可以连接互联网,请直接按照本文的指导进行安装。 准备工作​ 请参考安装环境文档准备安装环境。 配置用户与安装目录。 在操作前请检查您是否有 sud

线性因子模型 - 独立分量分析(ICA)篇

序言 线性因子模型是数据分析与机器学习中的一类重要模型,它们通过引入潜变量( latent variables \text{latent variables} latent variables)来更好地表征数据。其中,独立分量分析( ICA \text{ICA} ICA)作为线性因子模型的一种,以其独特的视角和广泛的应用领域而备受关注。 ICA \text{ICA} ICA旨在将观察到的复杂信号

AI(文生语音)-TTS 技术线路探索学习:从拼接式参数化方法到Tacotron端到端输出

AI(文生语音)-TTS 技术线路探索学习:从拼接式参数化方法到Tacotron端到端输出 在数字化时代,文本到语音(Text-to-Speech, TTS)技术已成为人机交互的关键桥梁,无论是为视障人士提供辅助阅读,还是为智能助手注入声音的灵魂,TTS 技术都扮演着至关重要的角色。从最初的拼接式方法到参数化技术,再到现今的深度学习解决方案,TTS 技术经历了一段长足的进步。这篇文章将带您穿越时

系统架构设计师: 信息安全技术

简简单单 Online zuozuo: 简简单单 Online zuozuo 简简单单 Online zuozuo 简简单单 Online zuozuo 简简单单 Online zuozuo :本心、输入输出、结果 简简单单 Online zuozuo : 文章目录 系统架构设计师: 信息安全技术前言信息安全的基本要素:信息安全的范围:安全措施的目标:访问控制技术要素:访问控制包括:等保