看到了不少读者对于我“对Norton误报WinXP事件的技术分析”的反馈。在这里,首先我感谢这些阅读了我的blog并提供宝贵意见的读者,不管是支持还是反对我的观点。
明显,我的第一篇blog提供的技术细节不够。这里向大家抱歉。
第一, 为什么可能一个错误的特征码会只误报XP中文版的系统文件?
第二, 如何验证XP中文版的系统文件是否有特殊代码?如何使用我提及的各种工具?
我在上篇blog中提及,如果
收到的病毒样本是基于 WinXP 中文版的 Lsasrv.dll 的修改,而特征码提取在系统文件中未经修改的部分,这个特征码就会误报原始的
WinXP 中文版的 Lsasrv.dll ,而且,不会匹配(误报) WinXP 英文版的 Lsasrv.dll 。 void foo( char * strMsg ); int _tmain(int argc, _TCHAR* argv[]) char * strVersion = "This is DLL version 1.0"; void foo( char * strMsg ) printf( "%s/n", strMsg ); void foo( char * strMsg ); int _tmain(int argc, _TCHAR* argv[]) char * strVersion = "这是DLL版本1.0"; void foo( char * strMsg ) printf( "%s/n", strMsg ); 这两个程序功能上是一样的,区别只在字符串资源的本地化。
用VS2003编译, Debug version。
如果一个恶意的攻击者修改中文版程序,也就是CHS-sample.exe,可以直接在汇编代码层次修改。
这就是用Hiew攻击打开CHS-sample.exe。这三条指令就是调用printf函数。
执行CHS-Sample2.exe,就会出现以下对话框,因为执行了我们刚刚加入的int 3 指令。
00000000`00411ac7 cc int 3 0017fdd8 00411a6e CHS_sample!foo+0x27 0017febc 00411e10 CHS_sample!main+0x2e 0017ffa0 766c19f1 CHS_sample!mainCRTStartup+0x170 0017ffac 7772d109 kernel32!BaseThreadInitThunk+0xe 0017ffec 00000000 ntdll32!RtlCreateUserProcess+0x8c 注意到CHS-Sample.exe和CHS-Sample2.exe的区别是非常小的。
如果决定检测CHS-Sample2.exe,而特征码提取的部分没有包括到修改的这几条指令,例如计算从偏移量0开始的0x400个字节的MD5,那么这个特征码就只会误报CHS-Sample.exe,而不会误报US-Sample.exe。
如何验证XP中文版的系统文件是否有特殊代码?如何使用我提及的各种工具?
最为直接的方式是使用IDA将中文版本的Lsasrv.dll和英文版本的Lsasrv.dll调入。就可以一个一个对比函数的实现。如果有更加高级的程序分析软件(分析汇编指令的数据流和控制流),可以更方便地比较。
不过,因为IDA不是免费的。这里描述一下如何用WinDBG加上公共符号库(public symbol)来做到这一点。
1)使用WinDBG attach lsass.exe。启动WinDBG, F6。
.dump c:/test/lsasrv-chs.dump 3)Detach WinDBg,这样可以不影响系统的正常使用。注意是Detach,而不是直接关闭WinDBG
Windbg –z c:/test/lsasrv-chs.dump .sympath srv*c:/test/*http://msdl.microsoft.com/download/symbols 75730000 757e4000 lsasrv (pdb symbols) c:/test/lsasrv.pdb/C059631A2E3447139752DB410D8884392/lsasrv.pdb Loaded symbol image file: lsasrv.dll Mapped memory image file: c:/test/lsasrv.dll/44E460EBb4000/lsasrv.dll Image path: C:/WINDOWS/system32/lsasrv.dll Timestamp: Thu Aug 17 05:28:27 2006 (44E460EB) File version: 5.1.2600.2976 Product version: 5.1.2600.2976 File date: 00000000.00000000 CompanyName: Microsoft Corporation ProductName: Microsoft® Windows® Operating System OriginalFilename: lsasrv.dll ProductVersion: 5.1.2600.2976 FileVersion: 5.1.2600.2976 (xpsp_sp2_gdr.060817-0106) FileDescription: LSA Server DLL LegalCopyright: © Microsoft Corporation. All rights reserved. 757385cf lsasrv!LsapDbQueryInformationPolicy = 75799b94 lsasrv!LsarQueryForestTrustInformation = 75770028 lsasrv!LsapTruncateUnicodeString = 7578be3c lsasrv!LsapWinerrorToNtStatus = 757cf088 lsasrv!LsapSecpkgFunctionTable = 757aad1a lsasrv!LsapDsOpenObject = 757a3859 lsasrv!LsarQueryTrustedDomainInfo = 0:026> u lsasrv!LsapDsOpenObject 757aad1a 8bff mov edi,edi 757aad1d 8bec mov ebp,esp 757aad1f 83ec2c sub esp,2Ch 757aad22 8365fc00 and dword ptr [ebp-4],0 757aad27 8b5d08 mov ebx,dword ptr [ebp+8] 757aad2a 8b4330 mov eax,dword ptr [ebx+30h] lsasrv!LsapDsOpenObject+0x13: 757aad2d 8bc8 mov ecx,eax 757aad31 c645f800 mov byte ptr [ebp-8],0 757aad35 7417 je lsasrv!LsapDsOpenObject+0x34 (757aad4e) 757aad39 740a je lsasrv!LsapDsOpenObject+0x2b (757aad45) lsasrv!LsapDsOpenObject+0x21: 757aad3b b80d0000c0 mov eax,0C000000Dh 757aad40 e99e000000 jmp lsasrv!LsapDsOpenObject+0xc9 (757aade3) 757aad45 c745081c000a00 mov dword ptr [ebp+8],0A001Ch 757aad4c eb07 jmp lsasrv!LsapDsOpenObject+0x3b (757aad55) 757aad4e c7450822000a00 mov dword ptr [ebp+8],0A0022h 757aad56 8d4df8 lea ecx,[ebp-8] 采用这个办法可以一一查看和对比中文版和英文版的Lsasrv.dll的各个函数的实现。例如,对于对于
lsasrv!LsapDsOpenObject ,中文版本 5.1.2600.2976 的实现如下, 74480000 7452e000 lsasrv (pdb symbols) c:/test/lsasrv.pdb/C059631A2E3447139752DB410D8884392/lsasrv.pdb Loaded symbol image file: lsasrv.dll Mapped memory image file: c:/test/lsasrv.dll/44E4613Cae000/lsasrv.dll Image path: C:/WINDOWS/system32/lsasrv.dll Timestamp: Thu Aug 17 05:29:48 2006 (44E4613C) File version: 5.1.2600.2976 Product version: 5.1.2600.2976 File date: 00000000.00000000 CompanyName: Microsoft Corporation ProductName: Microsoft(R) Windows(R) Operating System OriginalFilename: lsasrv.dll ProductVersion: 5.1.2600.2976 FileVersion: 5.1.2600.2976 (xpsp_sp2_gdr.060817-0106) FileDescription: LSA Server DLL LegalCopyright: (C) Microsoft Corporation. All rights reserved. 0:025> u lsasrv!LsapDsOpenObject 744fad1a 8bff mov edi,edi 744fad1d 8bec mov ebp,esp 744fad1f 83ec2c sub esp,2Ch 744fad22 8365fc00 and dword ptr [ebp-4],0 744fad27 8b5d08 mov ebx,dword ptr [ebp+8] 744fad2a 8b4330 mov eax,dword ptr [ebx+30h] lsasrv!LsapDsOpenObject+0x13: 744fad2d 8bc8 mov ecx,eax 744fad31 c645f800 mov byte ptr [ebp-8],0 744fad35 7417 je lsasrv!LsapDsOpenObject+0x34 (744fad4e) 744fad39 740a je lsasrv!LsapDsOpenObject+0x2b (744fad45) lsasrv!LsapDsOpenObject+0x21: 744fad3b b80d0000c0 mov eax,0C000000Dh 744fad40 e99e000000 jmp lsasrv!LsapDsOpenObject+0xc9 (744fade3) 744fad45 c745081c000a00 mov dword ptr [ebp+8],0A001Ch 744fad4c eb07 jmp lsasrv!LsapDsOpenObject+0x3b (744fad55) 744fad4e c7450822000a00 mov dword ptr [ebp+8],0A0022h 744fad56 8d4df8 lea ecx,[ebp-8] 通过对比,可以看出,它们之间的区别只在于变量和代码的偏移量,其功能是完全一致的。
采用这个办法,你可以对比其它函数的实现,以及其它系统DLL,如kernel32.dll,ntdll.dll等等。
最后,我回答一下写这篇blog的目的是什么?先感谢你阅读了这么长而且枯燥的技术阐述。相对于“XP系统文件可能存在后门”的新闻,技术阐述不会更加吸引眼球,但是它却更接近事实。给大家提供一个从技术角度的分析,就是我的目的。而我也个人认为,这对我们软件业的发展会有好处。
又及,我所指的“摒弃浮躁”,具体是指,与其花时间做无谓的猜测,不如静下心研究技术掌握技术。
盆盆一篇不错的评论“也谈 Norton 错杀 Windows XP ” 我的这篇blog的目的就是为了技术上分析 Norton 误杀 Windows XP 中文版系统文件的原因。讨论时候,就事论事。或许有人压根就不关心这个问题的答案。每个人都有自由选择相信什么,但是诸如“是否是中国人”的言语无助于任何理性的讨论。 喊几句大口号非常容易,但我看不出这能如何真正提高我们的信息安全水平。技术不是全部,但不懂技术,试问又如何保障安全?