病毒行为监测工具(Malware Behavior Interceptor)。
这是去年刚来北京时做的一个工具,用来自动判断某文件是否属于病毒,完成的版本只能用做演示,后来工作忙起来了,就没时间再回去修改。现在看看,好像快烂在电脑里了。还不如分享出来,希望给他人有所帮助。
实现的功能:
1. 利用微软的Detours实现API inline hook
2. 实现简单的沙箱功能
a. 文件重定向
b. 注册表重定向
c. 进程、线程控制
3. 被控进程与控制进程数据实时交互
4. 进程行为判断规则功能,自动识别程序是否恶意
目前功能的原型大部分出来了,但是个别handle的重定向处理得不够完善,所以在加载大程序时会出现崩溃的情况。而且目前只处理了少部分的常见API,其他API的处理流程应该大同小异。
在做的时候遇到些问题:
1. 因为注入的方式是dll远程注入,所以控制进程与被控制进程的通信是个问题。跨进程通信目前有很多方法:共享文件、socket等等。由于这个工具的通信更依赖于内存,依赖于一定的结构体,并且是只读的数据,所以最后决定使用消息传递:WM_COPYDATA。WM_COPYDATA消息的主要目的是允许在进程间传递只读数据。这个函数的原型及其要用到的结构如下:
SendMessage(hwnd,WM_COPYDATA,wParam,lParam);
其中WM_COPYDATA对应的十六进制数为0x004A ,wParam设置为包含数据的窗口的句柄,lParam指向一个COPYDATASTRUCT的结构:
[c]
typedef struct tagCOPYDATASTRUCT{
DWORD dwData;//用户定义数据
DWORD cbData;//数据大小
PVOID lpData;//指向数据的指针
}COPYDATASTRUCT;
[/c]
接收方通过DefWndProc事件修改WM_COPYDATA消息的处理 或者通过窗口的CDialog::OnCopyData(pWnd, pCopyDataStruct)事件来响应。
2. 利用Detours hook主要是因为方便安全。而且因为要挂钩其他进程,但是该进程是通过本进程启动的,所以流程应该是:
a. 启动该进程,并suspend
b. 注入
c. 继续该进程
所以,如果要自己写hook,必须用createprocess方法来注入dll。(搜索关键字”CreateProcess 注入“)。而Detours对该功能有封装函数,即DetourCreateProcessWithDll。
[c]
BOOL DetourCreateProcessWithDll(
LPCTSTR lpApplicationName,
LPTSTR lpCommandLine,
LPSECURITY_ATTRIBUTES lpProcessAttributes,
LPSECURITY_ATTRIBUTES lpThreadAttributes,
BOOL bInheritHandles,
DWORD dwCreationFlags,
LPVOID lpEnvironment,
LPCTSTR lpCurrentDirectory,
LPSTARTUPINFOW lpStartupInfo,
LPPROCESS_INFORMATION lpProcessInformation,
LPCSTR lpDetouredDllPath,
LPCSTR lpDllName,
PDETOUR_CREATE_PROCESS_ROUTINEW pfCreateProcessW
);
[/c]
3. 重定向。对于文件的重定向,简单的做法是在磁盘上开辟另一个缓存,对文件的修改操作直接重定向到该缓冲区的拷贝的同一个文件;而对注册表的修改,将其重定向到内存里的一个数据结构,因为对注册表的修改的目的不是注册表本身,而是注册表中存储的值,所以将注册表中的值转移到内存中即可;对于进程重定向,即判断是否挂钩修改的进程;对于线程重定向,如果是CreateRemoteThread,则判断是否挂钩注入的进程。
4. 病毒行为判断基于规则+打分机制。比如,修改注册表某键值=10分,删除windows/system32目录下的某文件=20分,当分数累计到一定分数时,获得对该进程的一个判断结果。这样做只是实现了一个原型,如果真正应用,其实还有很多地方需要细化。