RE alanına yeni giriyorum ve yaklaşık bir yıl önce bir sınıfta sanallaştırılmış paketleyiciler (VMProtect veya Themida gibi) öğrendim. Vahşi doğada kötü amaçlı yazılımlar ne sıklıkla sanallaştırılmış paketleyicilerle doludur ve bunları statik analiz için paketinden çıkarmanın son durumu nedir?
Nadiren kullanılırlar ve daha da kötüsü (veya daha iyisi), nadiren yararlı bir şekilde kullanılırlar.
Tipik olarak, yalnızca ana işlevin veya başka bir ikili paketleyicinin sanallaştırıcısının kullanılmasıydı ve her iki durum da analizi engellemez: sanallaştırılmış paketleyici kodunu atlarsanız, yine de orijinal paketlenmemiş kodu alırsınız .
AFAIK, bir kötü amaçlı yazılımda sanallaştırıcının (VMProtect burada) bilinen tek akıllı kullanımı, Nicolas Fallière'nin teknik inceleme yazdığı Trojan.Clampi'dir, ancak çok detaylı. Bunun için, tüm viral gövde sanallaştırıldı.
Bunlar için herkese açık bir indirme bağlantısı bulamadım (aksi halde iyi ) belgeler:
Diğer yanıtlayıcıların sunulan görüşünü destekleyebilirim. Vahşi örneklere bakarken nadiren kod sanallaştırmayla karşılaşacaksınız.
Eklemek gerekirse, FinFisher'da kullanılan özel sanallaştırmaya bakan yeni bir Tora vaka çalışması burada var ( üzgünüm, PDF'ye doğrudan bağlantı, başka bir kaynak yok).
Burada kullanılan sanal makinede yalnızca 11 işlem kodu vardır, bu nedenle bu örnek kolayca anlaşılabilir ve özel sanal makinelerin arkasındaki bazı ortak tasarım ilkeleri hakkında bir izlenim elde etmek için kullanılabilir .
Yaklaşık geçen yıl içinde, sanallaştırılmış bir paketleyici (bu durumda VMProtect) kullanan yalnızca tek bir kötü amaçlı yazılım örneğiyle karşılaştığımı düşünüyorum. Baktığım örneklerin çoğu, orijinal PE'nin bellekten kolayca atılmasına izin veren aptal paketleyiciler kullanıyor. Tüm zamanımı kötü amaçlı yazılımlara bakmakla harcamıyorum, ancak genellikle bahsettiğim hacim hakkında biraz fikir vermek için haftada birkaç potansiyel olarak kötü amaçlı örneğe bakıyorum. Ayrıca, SpyEye yazarının kötü amaçlı yazılım oluşturucuyu korumak için VMProtect kullandığını hatırlıyorum, bu tür kitleri satan başkalarının da kullanıp kullanmadığından emin değilim. Citadel kurucusunun oldukça sağlam bir koruması olduğunu duydum, ancak ne olduğundan emin değilim.
Sorunuzun ikinci kısmıyla ilgili olarak, bir uzman değilim, ancak birkaç site geldi Bu şeyleri paketten çıkarmayı öğrenmekle ilgilenip ilgilenmediğinizi potansiyel olarak kontrol etmeyi unutmayın. Bu site, VMProtect ve Themida dahil olmak üzere çeşitli şeyleri paketten çıkarmakla ilgili bazı yayınlar içeriyor. Özellikle bu yazılara bakmadım, sadece orada olduklarını fark ettim. Sanırım bu belirli paketleyicilerin bazı sürümlerini tuts4you.com adresinde ele alan bazı eğiticiler de var, bunlardan bazılarına göz atmak isterseniz.
Sorunuzun ilk kısmına: Gerçekten alana bağlı. Sanallaştırma tabanlı paketleyicilerden yararlanan kötü amaçlı yazılım örneklerinin tespit edilmesi genellikle kolaydır, bu da kötü amaçlı yazılım yazarının bakış açısından bir dezavantajdır. Algılamadan kaçınmak çok önemliyse, özellikle örneğinizin muhtemelen yine de özel olduğu hedefli saldırılarda geçerliyse, sanallaştırılmış paketleyiciler iyi bir fikir değildir. Sanırım bu yüzden sadece birkaç örnek bunlardan yararlanıyor. Geçen yıl içinde yalnızca bir tane (themida korumalı) gördüm.