taraznet2020

taraznet2020

خدمات شبکه ترازنت

نمونه قرارداد پشتیبانی شبکه

بازیابی فایلهای اجرایی
در یک حادثه بدافزار ، هنگامی که روند مشکوکی روی سیستم موضوعی شناسایی می شود ، معمولاً استخراج کد اجرایی مرتبط از یک حافظه برای تجزیه و تحلیل بیشتر ، مطلوب است. به نظر می رسد ساده باشد ، بازیابی یک فایل اجرایی کامل از یک حافظه خالی ممکن است دشوار باشد. برای شروع ، یک اجرایی هنگامی که در حافظه در حال اجرا است تغییر می کند ، بنابراین بازیابی فایل اجرایی دقیقاً همانطور که در دیسک وجود دارد امکان پذیر نیست. صفحات مرتبط با یک اجرایی را می توان به دیسک نیز مبادله کرد ، در این صورت آن صفحات در تخلیه حافظه وجود نخواهد داشت. علاوه بر این ، بدافزار تلاش می کند تا خود را مبهم کند و بدست آوردن اطلاعات در مورد ساختار و محتوای آن دشوارتر است. با در نظر گرفتن این هشدارها ، اساسی ترین فرایند بازیابی یک مورد اجرایی به شرح زیر است:

1
ساختار PEB را بخوانید تا آدرس محلی را که از آنجا شروع می شود تعیین کنید.

2
به ابتدای قابل اجرا بروید و عنوان PE را بخوانید.

3
برای تعیین محل و اندازه بخشهای مختلف اجرایی ، هدر PE را تفسیر کنید.

4
صفحات مرتبط با هر بخش ارجاع شده در هدر PE را استخراج کرده و آنها را در یک پرونده واحد ترکیب کنید.

PEB برای فرآیند پنهان "skl.exe" در سناریوی rootkit FUTo در شکل 3.8 نشان داده شده است. مانند سایر ساختارهای داده در حافظه ویندوز ، قالب PEB نیز در نسخه های سیستم عامل متفاوت است ، اما در برخی از ابزارهای پزشکی قانونی حافظه به خوبی مستند و پیاده سازی شده است.


برای بارگیری تصویر در اندازه کامل وارد سیستم شوید
شکل 3.8 PEB فرآیند پنهان "skl.exe"

هارلان کاروی ابزاری را با نام "lspd.pl" برای تفسیر PEB در تخلیه حافظه ویندوز 2000 ایجاد کرد (Windows Forensic Analysis، 2007، Syngress) و این برنامه به منظور استفاده از این مثال با Windows XP SP سازگار شده است. خروجی "lspd_xpsp2.pl" برای فرآیند پنهان "skl.exe" در سناریو rootkit FUTo در اینجا ارائه شده است ، از جمله جزئیات PEB مانند محل فیزیکی قابل اجرا در حافظه 0x0a198000 (با حروف بزرگ نشان داده شده است)

نام فرآیند: skl.exe

PID: 0

PID والدین: 412

TFLINK: 0xffa5c7a0

TBLINK: 0xffa52bd8

FLINK: 0xffa5cc70

BLINK: 0xffa5cc70

زیر سیستم: 4.0

وضعیت خروج: 259

زمان ایجاد: خورشید 9 سپتامبر 18:13:10 2007

DTB: 0x0a039000

ObjTable: 0xe22ea060 (0x09ad1060)

PEB: 0x7ffdf000 (0x0a0eb000)

InheritedAddressSpace: 0

گزینه های ReadImageFileExecution: 0

اشکال زدایی: 0

جهش = 0xffffffff

Img Base Addr = 0x00400000 (0x0a198000)

PEB_LDR_DATA = 0x00251e90 (0x0a142e90)

پارامس = 0x00020000 (0x0a061000)

مسیر فهرست فعلی = C: \ اسناد و تنظیمات \ SFLLC \

ImagePathName = C: \ Program Files \ KeyLogger \ skl.exe

خط فرمان = "C: \ Program Files \ KeyLogger \ skl.exe"

افست محیط = 0x00000000 (0x00000000)

عنوان پنجره = C: \ Program Files \ KeyLogger \ skl.exe

نام دسک تاپ = WinSta0 \ پیش فرض

نمونه قرارداد پشتیبانی شبکه

رفتن به این مکان فیزیکی در حافظه با استفاده از یک نمایشگر hex ، هدر PE را برای قابل اجرا و آنچه که به نظر می رسد بسته بندی UPX است را نشان می دهد (شکل 3.9 را ببینید). سربرگ PE به طور کلی مکان بخشهای مختلف اجرایی را مشخص می کند ، که می تواند برای بازیابی اجزای اضافی اجرایی مورد استفاده قرار گیرد. برای تفسیر هدر PE ، لازم است صفحه ای را که حاوی هدر است استخراج کنید و یادآوری کنید که هر صفحه حافظه معمولاً 4096 بایت است و محتوای آن را با یک ابزار مشاهده PE مشاهده کنید. دستور زیر از اولین 41368 صفحه حافظه (169443328 بایت / 4096) عبور کرده و یک صفحه را در پرونده ای با نام "skl-peheader" کپی می کند.


برای بارگیری تصویر در اندازه کامل وارد سیستم شوید
شکل 3.9 UPX قابل اجرا در Memory Dump مرتبط با فرآیند "skl.exe" - مکان فیزیکی (0x0a198000 = 169443328 بایت) آدرس پایگاه تصویر از PEB این فرآیند بدست آمده است

# dd if = FUTo-memory-20070909.dd bs = 4096 پرش = 41368 تعداد = 1 از = skl-peheader

هنگام کار با یک مورد اجرایی که بسته بندی نشده است ، می توان به سادگی هدر PE را مشاهده کرد تا مکان هر بخش (.text ، .data ، .rsrc ، .rdata) و تعداد صفحات بازیابی شود. این روند توسط آندریاس شوستر در "Reconstructing a Binary" توصیف شده است (موجود در http://computer.forensikblog.de/en/2006/04/reconstructing_a_binary.html). فایل بدست آمده ممکن است کپی دقیق فایل اجرایی روی دیسک نباشد ، زیرا نگاشت منابع و سایر مشخصات معمولاً در حافظه تغییر می کنند ، اما برای اهداف تجزیه و تحلیل بدافزار می توانند به اندازه کافی مشابه باشند.

با این وجود ، هنگام کار با یک بسته اجرایی بسته بندی شده ، اطلاعات مربوط به بخشهایی که معمولاً در موارد اجرایی یافت می شوند ، اغلب در دسترس نیستند. جدول 3.4 شامل اطلاعات موجود از عنوان PE برای "skl.exe" نشان داده شده در شکل 3.9 بالا است.

جدول 3.4. اطلاعات سربرگ بخش از UPX Packed Executable “skl.exe” استخراج می شود.

نام اندازه واقعی آدرس مجازی اندازه فیزیکی پرچم های آدرس فیزیکی
UPX0 0x00028000 0x00001000 0x00000000 0x00000000 0xE0000080
UPX1 0x00013000 0x00029000 0x00012e00 0x00000400 0xE0000040
.rsrc 0x00002000 0x0003c000 0x00001200 0x00013200 0

taraznet2020
taraznet2020 خدمات شبکه ترازنت

شاید خوشتان بیاید

پاسخ ها

نظر خود را درباره این پست بنویسید
منتظر اولین کامنت هستیم!
آیدت: فروش فایل، مقاله نویسی در آیدت، فایل‌های خود را به فروش بگذارید و یا مقالات‌تان را منتشر کنید👋