基于删除PE文件头的恶意代码内存取证方法

doi:10.3969/j.issn.1671-1122.2021.12.006

信息网络安全 ›› 2021, Vol. 21 ›› Issue (12): 38-43.doi: 10.3969/j.issn.1671-1122.2021.12.006

基于删除PE文件头的恶意代码内存取证方法

李鹏超¹^,²(), 刘彦飞¹^,³

1.重庆警察学院,重庆 401331
2.西南大学,重庆 400715
3.天津大学,天津 300072

收稿日期:2021-10-20 出版日期:2021-12-10 发布日期:2022-01-11
通讯作者: 李鹏超 E-mail:lipengchao61@qq.com
作者简介:李鹏超（1983—）,男,重庆,讲师,博士研究生,主要研究方向为电子数据取证、网络犯罪侦查|刘彦飞（1985—）,男,重庆,讲师,博士研究生,主要研究方向为知识图谱、网络舆情分析
基金资助:
重庆市教育委员会科学技术研究项目(KJQN201901702)

Research on Forensics Technology of Malicious Code Based on Deleted PE File Header

LI Pengchao¹^,²(), LIU Yanfei¹^,³

1. Chongqing Police College, Chongqing 401331, China
2. Southwest University, Chongqing 400715, China
3. Tianjin University, Tianjin 300072, China

Received:2021-10-20 Online:2021-12-10 Published:2022-01-11
Contact: LI Pengchao E-mail:lipengchao61@qq.com

摘要/Abstract

摘要：

电子数据取证领域,一些恶意程序通过删除PE可执行文件头部后将其复制到具有执行保护权限内存页面的方式躲避取证人员的检验。文章针对文件头被恶意删除的PE可执行文件分析后,提出一种通过分析存储在具有保护权限的内存页面中的进程Section表的方法,检测头被恶意删除的可执行文件。首先通过特征元素选择出虚拟地址描述符（VAD）中具有执行保护的non-private页面,这些页面很可能存储有恶意代码。然后对相应Section表中的Section头标识进行检索,并计算它们之间的偏移间隔是否为Section头大小的倍数以检验Section表特征。另外,文章将提出的算法实现为可以在内存取证工具Volatility 3框架中执行的插件,并通过使用该插件分析被Ursnif恶意软件感染的内存数据,以检验其有效性。

关键词: 内存取证, 虚拟地址描述符, Volatility 3, 恶意代码

Abstract:

In particular, malware removes the headers of executable file and copy them to the memory pages which have the execute protection to prevent code exposure during the memory forensic analysis. This paper proposed a method to detect executable files without headers by searching the Section table in the memory dump. Therefore, this paper explore the Section header signatures and check whether the offset intervals among them are a multiple of the Section header size to detect Section tables. We select the non-private pages with execute protection in Virtual Address Descriptor (VAD) which are highly likely to be hidden by malicious code and scan the Section Tables. In addition, this paper verified the detection performance by implementing the proposal as a plug-in that can be executed in Volatility 3 Framework and analyzing the memory of the system infected with Ursnif.

Key words: memory forensics, virtual address descriptor, volatility3, malicious code

中图分类号:

TP309

李鹏超, 刘彦飞. 基于删除PE文件头的恶意代码内存取证方法[J]. 信息网络安全, 2021, 21(12): 38-43.

LI Pengchao, LIU Yanfei. Research on Forensics Technology of Malicious Code Based on Deleted PE File Header[J]. Netinfo Security, 2021, 21(12): 38-43.

图/表 5

参考文献 16

[1]	MICHAEL H L. The Art of Memory Forensics: Detecting Malware and Threats in Windows, Linux, and Mac Memory[M]. New Jersey: John Wiley, 2014.
[2]	HOGLUND G, BUTLER J. Rootkits: Subverting the Windows Kernel[J]. Pearson Schweiz Ag, 2005, 7(2):169-212.
[3]	AFIANIAN A, NIKSEFAT S, SADEGHIYAN B, et al. Malware Dynamic Analysis Evasion Techniques: A Survey[J]. ACMComputingSurveys(CSUR), 2018, 52(6):1-28.
[4]	ANDREW C, GOLDEN G. Memory Forensics: The Path Forward[J]. Digital Investigation: The Internatnional Journal of Digital Forensics & Incident Response, 2017, 20(3):23-33.
[5]	TRENDMICRO. URSNIF Malware Still Making New Waves[EB/OL]. https://success.trendmicro.com/solution/000283513, 2020-12-18.
[6]	DTM. Anti-forensic and File-less Malwares[EB/OL]. https://0x00sec.org/t/anti-forensic-and-file-less-malware/10008, 2018-12-06.
[7]	PALUTKE R, BLOCK F, REICHENBERGER P, et al. Hiding Process Memory Via Anti-forensic Techniques[J]. Forensic Science International: Digital Investigation, 2020, 33(7):418-426.
[8]	HARUYAMA T. One-byte Modification for Breaking Memory Forensic Analysis[EB/OL]. https://www.blackhat.com/html/bh-eu-12/bh-eu-12-archives.html#haruyama, 2012-03-16.
[9]	STÜTTGEN J, COHEN M. Anti-forensic Resilient Memory Acquisition[J]. Digital Investigation, 2013, 10(2):105-115.
[10]	CARRIER B D, GRAND J. A Hardware-based Memory Acquisition Procedure for Digital Investigations[J]. Digital Investigation, 2004, 1(1):50-60. doi: 10.1016/j.diin.2003.12.001 URL
[11]	ZHANG Lei, WANG Lianhai. Live Memory Acquisition through FireWire[J]. China Communications, 2010, 7(6):78-85.
[12]	Rekall Forensics. Windows Plugin[EB/OL]. http://www.rekall-forensic.com/documentation-1/rekall-documentation/pluginsl, 2021-09-20.
[13]	Rekall Forensics. Plugin Reference[EB/OL]. https://rekall.readthedocs.io/en/latest/plugins.html, 2021-09-20.
[14]	Microsoft. PE Format[EB/OL]. https://docs.microsoft.com/en-us/windows/win32/debug/pe-format, 2021-09-20.
[15]	JUNG S, SEO S, KIM Y, et al. Memory Layout Extraction and Verification Method for Reliable Physical Memory Acquisition[J]. Electronics, 2021, 10(12):1380-1383. doi: 10.3390/electronics10121380 URL
[16]	BLOCK F, DEWALD A. Windows Memory Forensics: Detecting (Un)Intentionally Hidden Injected Code by Examining Page Table Entries[J]. Digital Investigation, 2019, 29(S):3-12.

Section名	内容	Section名	内容
.bss	未初始化数据	.drective	链接选项
.data	已初始化数据	.reloc	镜像重定位
.pdata	异常信息	.rsrc	资源目录
.text	执行代码	.idata	导入表

基于删除PE文件头的恶意代码内存取证方法

Research on Forensics Technology of Malicious Code Based on Deleted PE File Header

RichHTML

PDF (PC)

可视化

摘要/Abstract

引用本文

使用本文

图/表 5

参考文献 16

相关文章 15

编辑推荐

Metrics

本文评价

[1]	朱朝阳, 周亮, 朱亚运, 林晴雯. 基于行为图谱筛的恶意代码可视化分类算法[J]. 信息网络安全, 2021, 21(10): 54-62.
[2]	谭杨, 刘嘉勇, 张磊. 基于混合特征的深度自编码器的恶意软件家族分类[J]. 信息网络安全, 2020, 20(12): 72-82.
[3]	文伟平, 陈夏润, 杨法偿. 基于Rootkit隐藏行为特征的Linux恶意代码取证方法[J]. 信息网络安全, 2020, 20(11): 32-42.
[4]	乔延臣, 姜青山, 古亮, 吴晓明. 基于汇编指令词向量与卷积神经网络的恶意代码分类方法研究[J]. 信息网络安全, 2019, 19(4): 20-28.
[5]	李云春, 鲁文涛, 李巍. 基于Shapelet的恶意代码检测方法[J]. 信息网络安全, 2018, 18(3): 70-77.
[6]	周振飞, 方滨兴, 崔翔, 刘奇旭. 基于相似性分析的WordPress主题恶意代码检测[J]. 信息网络安全, 2017, 17(12): 47-53.
[7]	王毅, 唐勇, 卢泽新, 俞昕. 恶意代码聚类中的特征选取研究[J]. 信息网络安全, 2016, 16(9): 64-68.
[8]	蔡林, 陈铁明. Android移动恶意代码检测的研究概述与展望[J]. 信息网络安全, 2016, 16(9): 218-222.
[9]	张家旺, 李燕伟. 基于N-gram算法的恶意程序检测系统研究与设计[J]. 信息网络安全, 2016, 16(8): 74-80.
[10]	梁宏, 张慧云, 肖新光. 基于社会工程学的邮件样本关联分析[J]. 信息网络安全, 2015, 15(9): 180-185.
[11]	芦天亮，周运伟，曹巍. 移动互联网攻击技术及违法犯罪手段分析[J]. 信息网络安全, 2014, 14(9): 176-179.
[12]	任伟, 柳坤, 周金. AnDa：恶意代码动态分析系统[J]. 信息网络安全, 2014, 14(8): 28-33.
[13]	. Windows环境下进程空间信息深度挖掘方法研究[J]. , 2014, 14(4): 31-.
[14]	. 电力移动智能终端安全技术研究[J]. , 2014, 14(4): 70-.
[15]	温志渊;翟健宏;徐径山;欧阳建国. 基于攻击行为树的恶意代码检测平台[J]. , 2013, 13(9): 0-0.