BPE32多态引擎剖析，pdf格式文件，非源码资源-CSDN文库

共1个文件

pdf：1个

多态引擎

5星 · 超过95%的资源需积分: 9 188 浏览量 2009-09-03 21:00:37 上传评论收藏 157KB RAR 举报

资源推荐

资源详情

资源评论

收起资源包目录

pdf-BPE32多态引擎剖析.rar （1个子文件）

BPE32多态引擎剖析.pdf 166KB

BPE32 多态引擎剖析

autor ： nEINEI

e-mail: neineit@gmail.com

一 BPE32 简介

二技术细节分析

2.1 -- 整体流程设计

2.2 -- 随机数设计

2.3 -- 代码加密方案

2.4 -- 对抗 VM 的 SEH 设计

2.5 -- 随机数生成与寄存器选择

2.6 -- 垃圾指令生成方式

2.7 -- 解密器设计

2.8 -- 重建指令流程

三代码解析

四检测方案

一 BPE32 简介：

BPE32 （ Benny's Polymorphic Engine for Win32 ）多态引擎是由 Benny's /29A 在 #4 期发布的一

个病毒多态引擎，之后在病毒编写如 ( 如 Win32.Vulcano) 及壳的编写 ( 如 ASProtect) 当中都得到了

应用， BPE32 是一个很不错的多态引擎 , 这里将从设计的角度分析该引擎。

按照 Benny's 的描述， BPE32 引擎有如下特点：

1 可以通过创建 SEH 来干扰一些

2 随机使用寄存器做代码的混淆

3 同一功能代码，由不同的指令动态生成

4 功能代码具有空间随机分布

5 具有仿真 CALL 及 jmp 指令

6 在代码之间插入垃圾指令（也包括使用未公开的 SALC 指令）

我们先看一下 BPE32 的调用时的输入参数，

ESI -- 指向待加密的 virus 数据。

EDI -- 指向一块内存数据，用来存放由 BPE32 生成的解密器及加密数据。

ECX -- 加解密数据的计数，加解密时按照 4byte 的方式操作，数据由公式 (_end - start

+3)/4 获得。

EBP -- 做重定位时使用。

输出参数 ,

EAX -- 解码器加上加密数据后的大小，不对齐，精确到 1byte 而不是一个 DWORD

调用很方式简单，例如：

mov esi, vir_body ; 病毒体

mov edi, pmem ; 内存空间

mov ecx, 6c0h ; 解密计数

call BPE32

这样调用后 pmem 里面就是一个重建的病毒代码了。

下面将对具体技术细节做分析。

二技术细节分析

2.0 流程设计：

调用 BPE32 后，将在内存中产生如下方式的 3 部分功能代码，结构如下：

/------- +------------------- ------ -+

| |

构造 call decryptor

--------->@1

+------------------- ------- +

| | |

| |

加密的 virus body

--------->@2

| | |

\--- � |-------------------- ------- +

| |

decryptor

| |

--------->@3

+-------------------- ------ +

@1 是经过计算构造好的一个 call 调用，因为调用的具体位置要有 @2 部分决定。

@2 是一个经过加密后的病毒体。

@3 是一个解密器 , 用于对 @2 部分进行解密 , 该部分是经过代码混淆变换的。

这样每次感染其它文件后，重新生成的代码将不再有固定的特征部分，这将使得特征扫描机

制失效。

2.1 随机数设计：

BPE32 的随机数部分设计的很简单，利用了 RDTCS 指令来产生一个随机数字，通过栈中参

数 X ，产生一个 0 ~ X-1 之间的数字，当参数是 0 时，则直接返回产生的该数字。

random proc

push edx

RDTSC

xor edx, edx ;nulify EDX, we need only EAX

cmp [esp+8], edx ;is parameter==0 ?

je r_out ;yeah, do not truncate result

div dword ptr [esp+8] ;divide it

xchg eax, edx ;remainder as result

r_out: pop edx ;restore EDX

ret Pshd ;quit procedure and destroy pushed parameter

random endp

2.2 代码加密方案：

BPE32 采用的加密方案是 , 先产生两个随机数 , 一个作为密钥 B_key （不变的数字），一个作

为增量密钥 I_key （每次运算后相加），每次使得 B_key + I_key, 然后 xor 待加密数据一个

DWORD, 实现如下：

push 0 ; 产生一个无范围的随机数

call random

xchg edx, eax

mov [ebp + xor_key - mgdelta], edx ; 存储基密钥

push 0 ; 产生一个无范围的随机数

call random

xchg ebx, eax

mov [ebp + key_inc - mgdelta], ebx ; 存储增量密钥

x_loop: lodsd ; 加密 virus body

xor eax, edx

stosd

add edx, ebx

loop x_loop

2.3 对抗 VM 的 SEH 设计：

对于上面小节中提到的 @3 部分，其实是由如下部分组成的。

/------ ----> +------------------ - + <-------- decryptor

| |

seh handler

+------------------ -- +

| |

deleta geter

+----------------- --- +

| |

decryption

+------------------ --- +

\-------------

loop decryptor

+----------------- -- -+

seh handler -- 安装一个 seh 处理过程。

deleta geter -- 因为 @3 部分是由垃圾指令随机填充的，所以每循环一次后需要进行一

次重定位。

decryption -- 解密部分，同样由垃圾指令所包围。

loop decryptor -- 跳向 seh handler 。

对于 SEH BPE32 会产生如下形式的代码：

start:

call end_seh_fn

/---->mov esp, [esp+8] ;--> 相当于 push seh->handler

jmp seh_rs

end_seh_fn:

sub edx, edx

push dword ptr fs:[edx] ;--> 相当于 push seh->prev

mov fs:[edx], esp

\-----inc byte ptr [edx] ;--> 该处引发异常，跳向上面语句

jmp start

seh_rs: xor edi, edi

pop dword ptr fs:[edi]

pop edi

这样对于使用 vm 技术的 aver ，如果没有做好 seh 仿真，将导致仿真失败，无法完成检

测，而 jmp start 这条语句也很重要，有些 aver 会实现指令预取的功能 ( 具体可参考《对抗启发

式代码仿真检测技术分析》一文 ) ，这样会另 aver 陷入无休止的仿真循环当中。

2.4 随机数生成与寄存器选择

BPE32 通过 get_reg 函数产生一个随机的寄存器索引，即产生 0 ~ 7 之间的整数，不使

用 EAX(0),ESP(100b) ，在调用的外部也会判断是否使用了的 EBP(101b) ，实现如下：

get_reg proc

push 8 ; 产生一个随机的 0 ~ 7 之间的整数

call random

test eax, eax

je get_reg ; 不能使用 eax

cmp al, 100b ; 不能使用 esp

je get_reg

ret

get_reg endp

2.5 垃圾指令生成方式：

BPE32 通过调用 rjunk 函数来产生垃圾指令，这部分可以产生 1byte ， 2 byte ， 3byte ，

5byte 垃圾指令，及 jmp call 类的仿真指令（无疑这类指令的加入使得 junk 看起来更像真实的指

令），同时为了使 junk 的产生更加随机化， BPE32 做了一个简单映射关系。

0=5, 1=1+2, 2=2+1, 3=1, 4=2, 5=3, 6=none, 7=dummy jump and call

左侧索引 (eax, 随机数 ) = 右侧 ( 垃圾指令字节数 ) ，也就是 rjunk 先产生一个 0 ~ 7 的随机

数，根据这个索引映射的列表，进行垃圾指令的生成，例如：

eax 是 0 时，产生 5byte junk

eax 是 1 时，产生 1byte junk 和 2byte junk

eax 是 2 时，则先产生 2byte junk ，再产生 1byte junk

eax 是 7 时，产生 jmp 或 call

按照以上的映射关系，依次类推的产生垃圾指令，下面以 1byte junk 的代码来说如何产

生垃圾代码。

1 byte junk 示例 :

esi -- > 待加密数据

edi -- > 内存 buff

产生 1byte junk 指令到内存 buff

j1:

call junx1 ;one byte junk instruction

nop

dec eax

SALC

inc eax

clc

cwde

stc

cld

junx1:

pop esi ; 1 byte junk 指令首地址 , 即指向 nop 指令

push 8

call random

add esi, eax ; 随机定位一条

movsb ; 加入 edi 指向的内存当中

ret

其它的 junk 产生方式仅比 1byte junk 复杂一些而已，故不再赘述， BPE32 还有一个重要的功

能指令产生函数， make_xor,make_xor2,make_xor 主要是将指定的寄存器（由 bl 寄存器中的内容

指定）清 0 ， make_xor 可以产生随机的， xor,Rx,Rx / sub Rx,Rx/ mov Rx,0 这样的等效指令，

make_xor2 则产生一个指定寄存器 xor 某一数值的指令，例如：

mov bh ， 2

call make_xor2

mov eax,01234567h

stosd

以上则产生一条 xor edx,01234567h 这样的指令，以上两个函数功能简单，故不再做过多说

明。

2.6 解密器设计

因为 BPE32 可以随机的使用寄存器，故这里用 Rx 来表示任意一个可用的寄存器

每条语句的

Rx 并不一定代表同一个寄存器。解密器的设计是 BPE32 多态的重点，我这里先将主要的功能

代码表示出来。

mov Rx ， src -------- I1 获得待解密的地址，放入 Rx 中

mov Rx, cnt -------- I2 获得要解密的此时，放入 Rx 中

/--->xor Rx ， Rx -------- I3 解密

add Rx ， 4 -------- I4 待解密的地址加 4

add Rx ， 1 -------- I5 计数器加 1

add Rx ， Rx -------- I6 基密钥 + 增量密钥

jcxz yyy -------- I7 测试解密是否完成 , 完成后跳出循环

\--- jmp xxx -------- I8 继续解密

BPE32 围绕 I1 ~ I8 ，通过随机寄存器、插入垃圾指令、变换指令顺序、同等指令替换等

手段产生来产生数据不同但功能相同的解密代码，下面我将列举一个去除垃圾指令的 BPE32 产

生的解密代码。

0040202B E8 00000000 CALL T-BPE32.00402030 ; 构造的一个 call

00402030 8B3C24 MOV EDI,DWORD PTR SS:[ESP]

00402033 58 POP EAX

00402034 81EF 30204000 SUB EDI,T-BPE32.00402030 ; 构造一个重定位

; I1 的一种生成方式， F7973BCB 为随机产生的一个密钥， xor 后， ecx 指向了最初 call 调用后

地址，即待解密数据首地址

0040203A 68 CB3B97F7 PUSH F7973BCB ; 构造一个随机加密的密钥，使得 ecx 指

向最初的一个 call 调用

0040203F 59 POP ECX ; 这里 ecx 寄存器随机生成

00402040 81F1 CE1BD7F7 XOR ECX,F7D71BCE

00402046 03CF ADD ECX,EDI ; 加重定位，获得真正数据的指向

;I2 的一种生成方式，方案类似于 I1

00402048 33D2 XOR EDX,EDX ; 获得解密的次数，同样采用随机密钥

来混淆

0040204A 81C2 68D4F805 ADD EDX,5F8D468

00402050 81F2 6AD4F805 XOR EDX,5F8D46A

;I3

00402056 2BDB SUB EBX,EBX ; 获得密钥，该处密钥均为 0

00402058 81C3 00000000 ADD EBX,0

0040205E 3119 XOR DWORD PTR DS:[ECX],EBX ; 解密

;I4 使计数增加的一种方式

00402060 41 INC ECX ; 源数据增加 4

00402061 41 INC ECX

00402062 41 INC ECX

00402063 41 INC ECX

;I5

00402064 B8 CC54578A MOV EAX,8A5754CC ; 循环计数减 1

00402069 2BD0 SUB EDX,EAX

0040206B 81C2 CB54578A ADD EDX,8A5754CB

评论收藏

内容反馈

usurler

2013-09-03

比较复杂的汇编代码，还在学习研究中~
imliuxin

2014-08-04

非常详细的文档

tikycc2

粉丝: 11
资源: 68

BPE32多态引擎剖析，pdf格式文件 ，非源码

国外一款多态引擎asm

整理asme bpe 中文版电子教案.pdf

ASME BPE 2016(中文）

BPE610扩散硅压力变送器产品样本.pdf

BPE611电容式压力变送器产品样本.pdf

邦盛BPE612卫生型压力变送器产品样本.pdf

ASME BPE-2009 Bioprocessing Equipment

ASME-BPE标准

NLP-Subword三大算法原理：BPE、WordPiece、ULM.pdf

asme bpe 中英文对照

BPE-Dropout:BPE-Dropout的正式实施

（高清正版）ASME PASE-2019.pdf

ASME BPE 中英对照

BlueprintEncode-bpe.se-human.RData 单细胞singleR注释参考文件

BONTION邦盛 BLH460型射频导纳物位控制器.pdf

python-bpe：Python的字节对编码！

ASME BPE-2012

BPE(Byte-Pair Encoding )代码实现-数据

bpe-开源

第十五届蓝桥杯大赛软件赛省赛C++B组题目

C/C++中文参考手册离线最新版

代码随想录-八股文 pdf

第十五届蓝桥杯大赛软件赛省赛-C++A组题目

编译器（gcc、g++）

Qt5.9 C++开发指南.pdf 及示例源码

Qt （高仿Visio）流程图组件开发，源码分享

mingw-w64-install.exe

Qt、QCustomPlot、实时波形绘制、实时曲线绘制

C/C++中文帮助文档

最新资源

BPE32多态引擎剖析，pdf格式文件，非源码