再谈:Norton误报WinXP事件的技术分析 二
2007-12-17 10:39
246 查看
看到了不少读者对于我“对Norton误报WinXP事件的技术分析”的反馈。在这里,首先我感谢这些阅读了我的blog并提供宝贵意见的读者,不管是支持还是反对我的观点。
明显,我的第一篇blog提供的技术细节不够。这里向大家抱歉。 综合一下,有三个问题我没有说清楚。 第一, 为什么可能一个错误的特征码会只误报XP中文版的系统文件?第二, 如何验证XP中文版的系统文件是否有特殊代码?如何使用我提及的各种工具?第三, 我写这篇blog的目的是什么? 我们先来看第一个问题。 我在上篇blog中提及,如果收到的病毒样本是基于WinXP中文版的Lsasrv.dll的修改,而特征码提取在系统文件中未经修改的部分,这个特征码就会误报原始的WinXP中文版的Lsasrv.dll,而且,不会匹配(误报)WinXP英文版的Lsasrv.dll。 下面给大家举一个简化的例子。 英文版程序 // US-Sample.cpp // #include "stdafx.h"void foo( char * strMsg ); int _tmain(int argc, _TCHAR* argv[]){ char * strVersion = "This is DLL version 1.0"; foo( strVersion ); return 0;} void foo( char * strMsg ){ printf( "%s\n", strMsg );} 中文版程序 // CHS-sample.cpp// #include "stdafx.h"void foo( char * strMsg ); int _tmain(int argc, _TCHAR* argv[]){ char * strVersion = "这是DLL版本1.0"; foo( strVersion ); return 0;} void foo( char * strMsg ){ printf( "%s\n", strMsg );} 这两个程序功能上是一样的,区别只在字符串资源的本地化。 用VS2003编译, Debug version。 如果一个恶意的攻击者修改中文版程序,也就是CHS-sample.exe,可以直接在汇编代码层次修改。 这就是用Hiew攻击打开CHS-sample.exe。这三条指令就是调用printf函数。
我们修改为
并保存为CHS-Sample2.exe。 执行CHS-Sample2.exe,就会出现以下对话框,因为执行了我们刚刚加入的int 3 指令。
WinDBG信息: CHS_sample!foo+0x27:00000000`00411ac7 cc int 30:000:x86> kChildEBP RetAddr 0017fdd8 00411a6e CHS_sample!foo+0x27 0017febc 00411e10 CHS_sample!main+0x2e 0017ffa0 766c19f1 CHS_sample!mainCRTStartup+0x170 0017ffac 7772d109 kernel32!BaseThreadInitThunk+0xe0017ffec 00000000 ntdll32!RtlCreateUserProcess+0x8c 注意到CHS-Sample.exe和CHS-Sample2.exe的区别是非常小的。 如果决定检测CHS-Sample2.exe,而特征码提取的部分没有包括到修改的这几条指令,例如计算从偏移量0开始的0x400个字节的MD5,那么这个特征码就只会误报CHS-Sample.exe,而不会误报US-Sample.exe。 下面,我们来看第二个问题。 如何验证XP中文版的系统文件是否有特殊代码?如何使用我提及的各种工具? 最为直接的方式是使用IDA将中文版本的Lsasrv.dll和英文版本的Lsasrv.dll调入。就可以一个一个对比函数的实现。如果有更加高级的程序分析软件(分析汇编指令的数据流和控制流),可以更方便地比较。 不过,因为IDA不是免费的。这里描述一下如何用WinDBG加上公共符号库(public symbol)来做到这一点。 WinDBG可以从http://www.microsoft.com/whdc/devtools/debugging/default.mspx下载。1)使用WinDBG attach lsass.exe。启动WinDBG, F6。
2)创建crash dump.dump c:\test\lsasrv-chs.dump3)Detach WinDBg,这样可以不影响系统的正常使用。注意是Detach,而不是直接关闭WinDBG4)用WinDBG打开Crash Dump.Windbg –z c:\test\lsasrv-chs.dump5)使用公共符号.sympath srv*c:\test\*http://msdl.microsoft.com/download/symbols6)重新加载Lsasrv.dll的symbol.reload –f lsasrv.dll7)查看各个函数的实现0:026> lmvm lsasrvstart end module name75730000 757e4000 lsasrv (pdb symbols) c:\test\lsasrv.pdb\C059631A2E3447139752DB410D8884392\lsasrv.pdb Loaded symbol image file: lsasrv.dll Mapped memory image file: c:\test\lsasrv.dll\44E460EBb4000\lsasrv.dll Image path: C:\WINDOWS\system32\lsasrv.dll Image name: lsasrv.dll Timestamp: Thu Aug 17 05:28:27 2006 (44E460EB) CheckSum: 000BF9DC ImageSize: 000B4000 File version: 5.1.2600.2976 Product version: 5.1.2600.2976 File flags: 0 (Mask 3F) File OS: 40004 NT Win32 File type: 2.0 Dll File date: 00000000.00000000 Translations: 0409.04b0 CompanyName: Microsoft Corporation ProductName: Microsoft® Windows® Operating System InternalName: lsasrv.dll OriginalFilename: lsasrv.dll ProductVersion: 5.1.2600.2976 FileVersion: 5.1.2600.2976 (xpsp_sp2_gdr.060817-0106) FileDescription: LSA Server DLLLegalCopyright: © Microsoft Corporation. All rights reserved. 0:026> x lsasrv!*lsa*757385cf lsasrv!LsapDbQueryInformationPolicy = <no type information>75799b94 lsasrv!LsarQueryForestTrustInformation = <no type information>75770028 lsasrv!LsapTruncateUnicodeString = <no type information>7578be3c lsasrv!LsapWinerrorToNtStatus = <no type information>757cf088 lsasrv!LsapSecpkgFunctionTable = <no type information>757aad1a lsasrv!LsapDsOpenObject = <no type information>757a3859 lsasrv!LsarQueryTrustedDomainInfo = <no type information>... ... (省略若干行输出) 0:026> u lsasrv!LsapDsOpenObject lsasrv!LsapDsOpenObject:757aad1a 8bff mov edi,edi757aad1c 55 push ebp757aad1d 8bec mov ebp,esp757aad1f 83ec2c sub esp,2Ch757aad22 8365fc00 and dword ptr [ebp-4],0757aad26 53 push ebx757aad27 8b5d08 mov ebx,dword ptr [ebp+8]757aad2a 8b4330 mov eax,dword ptr [ebx+30h] 0:026> ulsasrv!LsapDsOpenObject+0x13:757aad2d 8bc8 mov ecx,eax757aad2f 49 dec ecx757aad30 49 dec ecx757aad31 c645f800 mov byte ptr [ebp-8],0757aad35 7417 je lsasrv!LsapDsOpenObject+0x34 (757aad4e)757aad37 49 dec ecx757aad38 49 dec ecx757aad39 740a je lsasrv!LsapDsOpenObject+0x2b (757aad45)0:026> ulsasrv!LsapDsOpenObject+0x21:757aad3b b80d0000c0 mov eax,0C000000Dh757aad40 e99e000000 jmp lsasrv!LsapDsOpenObject+0xc9 (757aade3)757aad45 c745081c000a00 mov dword ptr [ebp+8],0A001Ch757aad4c eb07 jmp lsasrv!LsapDsOpenObject+0x3b (757aad55)757aad4e c7450822000a00 mov dword ptr [ebp+8],0A0022h757aad55 56 push esi757aad56 8d4df8 lea ecx,[ebp-8]757aad59 51 push ecx 采用这个办法可以一一查看和对比中文版和英文版的Lsasrv.dll的各个函数的实现。例如,对于对于lsasrv!LsapDsOpenObject,中文版本5.1.2600.2976的实现如下, 0:025> lmvm lsasrvstart end module name74480000 7452e000 lsasrv (pdb symbols) c:\test\lsasrv.pdb\C059631A2E3447139752DB410D8884392\lsasrv.pdb Loaded symbol image file: lsasrv.dll Mapped memory image file: c:\test\lsasrv.dll\44E4613Cae000\lsasrv.dll Image path: C:\WINDOWS\system32\lsasrv.dll Image name: lsasrv.dll Timestamp: Thu Aug 17 05:29:48 2006 (44E4613C) CheckSum: 000BA5F0 ImageSize: 000AE000 File version: 5.1.2600.2976 Product version: 5.1.2600.2976 File flags: 0 (Mask 3F) File OS: 40004 NT Win32 File type: 2.0 Dll File date: 00000000.00000000 Translations: 0804.04b0 CompanyName: Microsoft Corporation ProductName: Microsoft(R) Windows(R) Operating System InternalName: lsasrv.dll OriginalFilename: lsasrv.dll ProductVersion: 5.1.2600.2976 FileVersion: 5.1.2600.2976 (xpsp_sp2_gdr.060817-0106) FileDescription: LSA Server DLL LegalCopyright: (C) Microsoft Corporation. All rights reserved.0:025> u lsasrv!LsapDsOpenObject lsasrv!LsapDsOpenObject:744fad1a 8bff mov edi,edi744fad1c 55 push ebp744fad1d 8bec mov ebp,esp744fad1f 83ec2c sub esp,2Ch744fad22 8365fc00 and dword ptr [ebp-4],0744fad26 53 push ebx744fad27 8b5d08 mov ebx,dword ptr [ebp+8]744fad2a 8b4330 mov eax,dword ptr [ebx+30h]0:025> ulsasrv!LsapDsOpenObject+0x13:744fad2d 8bc8 mov ecx,eax744fad2f 49 dec ecx744fad30 49 dec ecx744fad31 c645f800 mov byte ptr [ebp-8],0744fad35 7417 je lsasrv!LsapDsOpenObject+0x34 (744fad4e)744fad37 49 dec ecx744fad38 49 dec ecx744fad39 740a je lsasrv!LsapDsOpenObject+0x2b (744fad45)0:025> ulsasrv!LsapDsOpenObject+0x21:744fad3b b80d0000c0 mov eax,0C000000Dh744fad40 e99e000000 jmp lsasrv!LsapDsOpenObject+0xc9 (744fade3)744fad45 c745081c000a00 mov dword ptr [ebp+8],0A001Ch744fad4c eb07 jmp lsasrv!LsapDsOpenObject+0x3b (744fad55)744fad4e c7450822000a00 mov dword ptr [ebp+8],0A0022h744fad55 56 push esi744fad56 8d4df8 lea ecx,[ebp-8]744fad59 51 push ecx 通过对比,可以看出,它们之间的区别只在于变量和代码的偏移量,其功能是完全一致的。 采用这个办法,你可以对比其它函数的实现,以及其它系统DLL,如kernel32.dll,ntdll.dll等等。 最后,我回答一下写这篇blog的目的是什么?先感谢你阅读了这么长而且枯燥的技术阐述。相对于“XP系统文件可能存在后门”的新闻,技术阐述不会更加吸引眼球,但是它却更接近事实。给大家提供一个从技术角度的分析,就是我的目的。而我也个人认为,这对我们软件业的发展会有好处。 又及,我所指的“摒弃浮躁”,具体是指,与其花时间做无谓的猜测,不如静下心研究技术掌握技术。 再次感谢你读了这么长的blog。 6/17更新 后记: 盆盆一篇不错的评论“也谈Norton错杀Windows XP”(http://blogs.itecn.net/blogs/ahpeng/archive/2007/06/15/NortonKillXP.aspx)盆盆的文采胜我颇多。 我的这篇blog的目的就是为了技术上分析Norton误杀Windows XP中文版系统文件的原因。讨论时候,就事论事。或许有人压根就不关心这个问题的答案。每个人都有自由选择相信什么,但是诸如“是否是中国人”的言语无助于任何理性的讨论。 喊几句大口号非常容易,但我看不出这能如何真正提高我们的信息安全水平。技术不是全部,但不懂技术,试问又如何保障安全?
Trackback: http://tb.blog.csdn.net/TrackBack.aspx?PostId=1654028
明显,我的第一篇blog提供的技术细节不够。这里向大家抱歉。 综合一下,有三个问题我没有说清楚。 第一, 为什么可能一个错误的特征码会只误报XP中文版的系统文件?第二, 如何验证XP中文版的系统文件是否有特殊代码?如何使用我提及的各种工具?第三, 我写这篇blog的目的是什么? 我们先来看第一个问题。 我在上篇blog中提及,如果收到的病毒样本是基于WinXP中文版的Lsasrv.dll的修改,而特征码提取在系统文件中未经修改的部分,这个特征码就会误报原始的WinXP中文版的Lsasrv.dll,而且,不会匹配(误报)WinXP英文版的Lsasrv.dll。 下面给大家举一个简化的例子。 英文版程序 // US-Sample.cpp // #include "stdafx.h"void foo( char * strMsg ); int _tmain(int argc, _TCHAR* argv[]){ char * strVersion = "This is DLL version 1.0"; foo( strVersion ); return 0;} void foo( char * strMsg ){ printf( "%s\n", strMsg );} 中文版程序 // CHS-sample.cpp// #include "stdafx.h"void foo( char * strMsg ); int _tmain(int argc, _TCHAR* argv[]){ char * strVersion = "这是DLL版本1.0"; foo( strVersion ); return 0;} void foo( char * strMsg ){ printf( "%s\n", strMsg );} 这两个程序功能上是一样的,区别只在字符串资源的本地化。 用VS2003编译, Debug version。 如果一个恶意的攻击者修改中文版程序,也就是CHS-sample.exe,可以直接在汇编代码层次修改。 这就是用Hiew攻击打开CHS-sample.exe。这三条指令就是调用printf函数。
我们修改为
并保存为CHS-Sample2.exe。 执行CHS-Sample2.exe,就会出现以下对话框,因为执行了我们刚刚加入的int 3 指令。
WinDBG信息: CHS_sample!foo+0x27:00000000`00411ac7 cc int 30:000:x86> kChildEBP RetAddr 0017fdd8 00411a6e CHS_sample!foo+0x27 0017febc 00411e10 CHS_sample!main+0x2e 0017ffa0 766c19f1 CHS_sample!mainCRTStartup+0x170 0017ffac 7772d109 kernel32!BaseThreadInitThunk+0xe0017ffec 00000000 ntdll32!RtlCreateUserProcess+0x8c 注意到CHS-Sample.exe和CHS-Sample2.exe的区别是非常小的。 如果决定检测CHS-Sample2.exe,而特征码提取的部分没有包括到修改的这几条指令,例如计算从偏移量0开始的0x400个字节的MD5,那么这个特征码就只会误报CHS-Sample.exe,而不会误报US-Sample.exe。 下面,我们来看第二个问题。 如何验证XP中文版的系统文件是否有特殊代码?如何使用我提及的各种工具? 最为直接的方式是使用IDA将中文版本的Lsasrv.dll和英文版本的Lsasrv.dll调入。就可以一个一个对比函数的实现。如果有更加高级的程序分析软件(分析汇编指令的数据流和控制流),可以更方便地比较。 不过,因为IDA不是免费的。这里描述一下如何用WinDBG加上公共符号库(public symbol)来做到这一点。 WinDBG可以从http://www.microsoft.com/whdc/devtools/debugging/default.mspx下载。1)使用WinDBG attach lsass.exe。启动WinDBG, F6。
2)创建crash dump.dump c:\test\lsasrv-chs.dump3)Detach WinDBg,这样可以不影响系统的正常使用。注意是Detach,而不是直接关闭WinDBG4)用WinDBG打开Crash Dump.Windbg –z c:\test\lsasrv-chs.dump5)使用公共符号.sympath srv*c:\test\*http://msdl.microsoft.com/download/symbols6)重新加载Lsasrv.dll的symbol.reload –f lsasrv.dll7)查看各个函数的实现0:026> lmvm lsasrvstart end module name75730000 757e4000 lsasrv (pdb symbols) c:\test\lsasrv.pdb\C059631A2E3447139752DB410D8884392\lsasrv.pdb Loaded symbol image file: lsasrv.dll Mapped memory image file: c:\test\lsasrv.dll\44E460EBb4000\lsasrv.dll Image path: C:\WINDOWS\system32\lsasrv.dll Image name: lsasrv.dll Timestamp: Thu Aug 17 05:28:27 2006 (44E460EB) CheckSum: 000BF9DC ImageSize: 000B4000 File version: 5.1.2600.2976 Product version: 5.1.2600.2976 File flags: 0 (Mask 3F) File OS: 40004 NT Win32 File type: 2.0 Dll File date: 00000000.00000000 Translations: 0409.04b0 CompanyName: Microsoft Corporation ProductName: Microsoft® Windows® Operating System InternalName: lsasrv.dll OriginalFilename: lsasrv.dll ProductVersion: 5.1.2600.2976 FileVersion: 5.1.2600.2976 (xpsp_sp2_gdr.060817-0106) FileDescription: LSA Server DLLLegalCopyright: © Microsoft Corporation. All rights reserved. 0:026> x lsasrv!*lsa*757385cf lsasrv!LsapDbQueryInformationPolicy = <no type information>75799b94 lsasrv!LsarQueryForestTrustInformation = <no type information>75770028 lsasrv!LsapTruncateUnicodeString = <no type information>7578be3c lsasrv!LsapWinerrorToNtStatus = <no type information>757cf088 lsasrv!LsapSecpkgFunctionTable = <no type information>757aad1a lsasrv!LsapDsOpenObject = <no type information>757a3859 lsasrv!LsarQueryTrustedDomainInfo = <no type information>... ... (省略若干行输出) 0:026> u lsasrv!LsapDsOpenObject lsasrv!LsapDsOpenObject:757aad1a 8bff mov edi,edi757aad1c 55 push ebp757aad1d 8bec mov ebp,esp757aad1f 83ec2c sub esp,2Ch757aad22 8365fc00 and dword ptr [ebp-4],0757aad26 53 push ebx757aad27 8b5d08 mov ebx,dword ptr [ebp+8]757aad2a 8b4330 mov eax,dword ptr [ebx+30h] 0:026> ulsasrv!LsapDsOpenObject+0x13:757aad2d 8bc8 mov ecx,eax757aad2f 49 dec ecx757aad30 49 dec ecx757aad31 c645f800 mov byte ptr [ebp-8],0757aad35 7417 je lsasrv!LsapDsOpenObject+0x34 (757aad4e)757aad37 49 dec ecx757aad38 49 dec ecx757aad39 740a je lsasrv!LsapDsOpenObject+0x2b (757aad45)0:026> ulsasrv!LsapDsOpenObject+0x21:757aad3b b80d0000c0 mov eax,0C000000Dh757aad40 e99e000000 jmp lsasrv!LsapDsOpenObject+0xc9 (757aade3)757aad45 c745081c000a00 mov dword ptr [ebp+8],0A001Ch757aad4c eb07 jmp lsasrv!LsapDsOpenObject+0x3b (757aad55)757aad4e c7450822000a00 mov dword ptr [ebp+8],0A0022h757aad55 56 push esi757aad56 8d4df8 lea ecx,[ebp-8]757aad59 51 push ecx 采用这个办法可以一一查看和对比中文版和英文版的Lsasrv.dll的各个函数的实现。例如,对于对于lsasrv!LsapDsOpenObject,中文版本5.1.2600.2976的实现如下, 0:025> lmvm lsasrvstart end module name74480000 7452e000 lsasrv (pdb symbols) c:\test\lsasrv.pdb\C059631A2E3447139752DB410D8884392\lsasrv.pdb Loaded symbol image file: lsasrv.dll Mapped memory image file: c:\test\lsasrv.dll\44E4613Cae000\lsasrv.dll Image path: C:\WINDOWS\system32\lsasrv.dll Image name: lsasrv.dll Timestamp: Thu Aug 17 05:29:48 2006 (44E4613C) CheckSum: 000BA5F0 ImageSize: 000AE000 File version: 5.1.2600.2976 Product version: 5.1.2600.2976 File flags: 0 (Mask 3F) File OS: 40004 NT Win32 File type: 2.0 Dll File date: 00000000.00000000 Translations: 0804.04b0 CompanyName: Microsoft Corporation ProductName: Microsoft(R) Windows(R) Operating System InternalName: lsasrv.dll OriginalFilename: lsasrv.dll ProductVersion: 5.1.2600.2976 FileVersion: 5.1.2600.2976 (xpsp_sp2_gdr.060817-0106) FileDescription: LSA Server DLL LegalCopyright: (C) Microsoft Corporation. All rights reserved.0:025> u lsasrv!LsapDsOpenObject lsasrv!LsapDsOpenObject:744fad1a 8bff mov edi,edi744fad1c 55 push ebp744fad1d 8bec mov ebp,esp744fad1f 83ec2c sub esp,2Ch744fad22 8365fc00 and dword ptr [ebp-4],0744fad26 53 push ebx744fad27 8b5d08 mov ebx,dword ptr [ebp+8]744fad2a 8b4330 mov eax,dword ptr [ebx+30h]0:025> ulsasrv!LsapDsOpenObject+0x13:744fad2d 8bc8 mov ecx,eax744fad2f 49 dec ecx744fad30 49 dec ecx744fad31 c645f800 mov byte ptr [ebp-8],0744fad35 7417 je lsasrv!LsapDsOpenObject+0x34 (744fad4e)744fad37 49 dec ecx744fad38 49 dec ecx744fad39 740a je lsasrv!LsapDsOpenObject+0x2b (744fad45)0:025> ulsasrv!LsapDsOpenObject+0x21:744fad3b b80d0000c0 mov eax,0C000000Dh744fad40 e99e000000 jmp lsasrv!LsapDsOpenObject+0xc9 (744fade3)744fad45 c745081c000a00 mov dword ptr [ebp+8],0A001Ch744fad4c eb07 jmp lsasrv!LsapDsOpenObject+0x3b (744fad55)744fad4e c7450822000a00 mov dword ptr [ebp+8],0A0022h744fad55 56 push esi744fad56 8d4df8 lea ecx,[ebp-8]744fad59 51 push ecx 通过对比,可以看出,它们之间的区别只在于变量和代码的偏移量,其功能是完全一致的。 采用这个办法,你可以对比其它函数的实现,以及其它系统DLL,如kernel32.dll,ntdll.dll等等。 最后,我回答一下写这篇blog的目的是什么?先感谢你阅读了这么长而且枯燥的技术阐述。相对于“XP系统文件可能存在后门”的新闻,技术阐述不会更加吸引眼球,但是它却更接近事实。给大家提供一个从技术角度的分析,就是我的目的。而我也个人认为,这对我们软件业的发展会有好处。 又及,我所指的“摒弃浮躁”,具体是指,与其花时间做无谓的猜测,不如静下心研究技术掌握技术。 再次感谢你读了这么长的blog。 6/17更新 后记: 盆盆一篇不错的评论“也谈Norton错杀Windows XP”(http://blogs.itecn.net/blogs/ahpeng/archive/2007/06/15/NortonKillXP.aspx)盆盆的文采胜我颇多。 我的这篇blog的目的就是为了技术上分析Norton误杀Windows XP中文版系统文件的原因。讨论时候,就事论事。或许有人压根就不关心这个问题的答案。每个人都有自由选择相信什么,但是诸如“是否是中国人”的言语无助于任何理性的讨论。 喊几句大口号非常容易,但我看不出这能如何真正提高我们的信息安全水平。技术不是全部,但不懂技术,试问又如何保障安全?
Trackback: http://tb.blog.csdn.net/TrackBack.aspx?PostId=1654028
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 让我们摒弃一些浮躁 -- 对Norton误报WinXP事件的技术分析
- 让我们摒弃一些浮躁 -- 对Norton误报WinXP事件的技术分析
- 让我们摒弃一些浮躁 -- 对Norton误报WinXP事件的技术分析
- 让我们摒弃一些浮躁 -- 对Norton误报WinXP事件的技术分析
- 再谈:Norton误报WinXP事件的技术分析 二
- 再谈:Norton误报WinXP事件的技术分析 二
- 让我们摒弃一些浮躁 -- 对Norton误报WinXP事件的技术分析
- 让我们摒弃一些浮躁 -- 对Norton误报WinXP事件的技术分析[转]
- 再谈:Norton误报WinXP事件的技术分析 二
- Android项目-智慧北京:02(三种技术设计主页面及源码分析点击事件传递的机制及Json数据传递的使用)
- 【原创分析】从技术角度分析陈冠希事件的必然性 推荐
- epoll 事件处理的技术内核分析
- extjs技术之tree技术分析事件触发
- 安全信息与事件管理(SIEM)技术解析与发展分析
- JavaScript事件委托技术实例分析
- 网络管理系统中的事件相关性技术分析
- 上海电信DNS劫持事件[含技术分析]
- 【Oracle数据库技术支持】RAC性能分析 - gc buffer busy acquire 等待事件
- 番茄花园 WinXP安装盘集成技术分析