在计算机犯罪案件中,经常涉及到各类木马程序,能否找到木马程序并确定木马程序的功能,是我们在办理此类案件中必须要重视的。
木马制作者为了使木马通过*毒软件的检测,增加代码阅读难度,经常会对木马程序代码进行代码混淆、加密、压缩等处理。直接对这种经过复杂化处理的木马文件进行分析阅读往往不可行,必须经过缜密细致的逆向处理,将复杂代码简单化,逐步进行解密、调试,才可以将木马的功能分析出来。
对经过混淆处理的复杂木马程序,可以通过以下五个步骤进行逆向分析处理: 代码结构整理、混淆字段替换、关键节点梳理、运行环境搭建、本地复现分析。
1 、代码结构整理。
经过混淆处理的木马程序,其代码格式被打乱。利用代码编辑工具,经过查找替换处理,将结构混乱的代码初步格式化,利于下一步的分析处理。对于经过了加密、压缩处理的代码,需要针对其加密、压缩方法,对其进行解密、解压。
2 、混淆字段替换。
木马制作者常采用代码混淆技术,以通过*毒软件检验。
目前常用的一种代码混淆方法是将代码中关键字段( 如类名、变量名、函数名等) 的英文
字母转换为 ASCII 扩展字符。对这些难以处理的混淆代码进行替换,并以易读易懂的方式重新命名,可以极大地提高代码可读性。
有些木马制作者为了进一步增加代码阅读难度,会在代码中插入大量垃圾注释,可以使用正则表达式去除掉这些不需要的部分。
3 、关键节点梳理。
木马程序中的关键节点,一般是指函数调用、return 返回值、参数传递、输入、输出、循环语句、判断语句等代码位置。在此步骤中,对这些关键节点进行梳理,厘清各函数的调用关系、函数功能、参数含义。
4 、运行环境搭建
为了达到本地调试的目的,需要搭建好木马所需的运行环境。
木马文件为 PHP 格式的,可以使用一些集成化环境配置工具( 例如 php Study、XCMPP、MAMP 等软件) 快捷便利地将运行环境搭建起来。木马文件为 ASP 格式的,需安装配置 IIS 服务。配置过程中需注意使用的服务类型、开启服务的端口等信息。
5 、本地复现分析。
运行环境搭建配置好后,将处理过的木马文件导入环境中,结合步骤“关键节点梳理”
,对木马文件手动调试分析。
