分析clamav

2023-06-13

字数统计: 605字 | 阅读时长≈ 2分

clamav是一个开源的病毒分析工具。这次分析主要是要看一下里面的一个Aspack的脱壳技术。

分析clamav

源码里有aspack.c/.h文件。定义了一个unaspack函数。

1	int unaspack(uint8_t image, unsigned int size, struct cli_exe_section sections, uint16_t sectcount, uint32_t ep, uint32_t base, int f, aspack_version_t version);

不过感觉上去是个内部函数，里面是直接对image进行解包的。

看一下这函数在哪里被调用了。

在pe.c里面：

1	CLI_UNPRESULTS("cli_scanpe: Aspack", (unaspack((uint8_t *)src, ssize, peinfo->sections, peinfo->nsections, peinfo->vep - 1, EC32(peinfo->pe_opt.opt32.ImageBase), ndesc, aspack_ver)), 1, (src, 0));

这是在一个又臭又长的cli_scanpe里面实现的。

1	int cli_scanpe(cli_ctx *ctx)

在scanners.c里面：

cl_error_t cli_magic_scan(cli_ctx *ctx, cli_file_t type) {

....

case CL_TYPE_MSEXE:
            perf_nested_start(ctx, PERFT_PE, PERFT_SCAN);
            if (SCAN_PARSE_PE && ctx->dconf->pe) {
                // Setting ctx->corrupted_input will prevent the PE parser from reporting "broken executable" for unpacked/reconstructed files that may not be 100% to spec.
                // In here we're just carrying the corrupted_input flag from parent to child, in case the parent's flag was set.
                unsigned int corrupted_input = ctx->corrupted_input;
                ret                          = cli_scanpe(ctx);
                ctx->corrupted_input         = corrupted_input;
            }
            perf_nested_stop(ctx, PERFT_PE, PERFT_SCAN);
            break;

clamunpacker

sourceforge.net/projects/clamunpacker/

源码down下来，稍微改一下

首先把pthread.h的timespec给注释掉。

然后把snprintf.h的snprintf函数给注释掉。

这两个玩意都是重定义了。

真是绝绝子了，不告诉人怎么使用他们的宝贝工具。

测试了一下大概应该这样传参：

1	./clamscan.exe filepath dirpath filepath

添加Aspack高版本支持

首先在aspack.h里面添加：

#define ASPACK_EP_OFFSET_212 (58 + 0x70e)
#define ASPACK_EP_OFFSET_OTHER (58 + 0x76a)
#define ASPACK_EP_OFFSET_242 (58 + 0x776)

#define ASPACK_EPBUFF_OFFSET_212 (0x3b9)
#define ASPACK_EPBUFF_OFFSET_OTHER (0x41f)
#define ASPACK_EPBUFF_OFFSET_242 (0x42B)

typedef enum aspack_version_tag {
    ASPACK_VER_NONE = 0,
    ASPACK_VER_212,
    ASPACK_VER_OTHER,
    ASPACK_VER_242
} aspack_version_t;

在aspack.c添加：

#define ASPACK_BLOCKS_OFFSET_212 0x57c
#define ASPACK_BLOCKS_OFFSET_OTHER 0x5d8
#define ASPACK_BLOCKS_OFFSET_242 0x5e4

#define ASPACK_STR_INIT_MLT_OFFSET_212 0x70e
#define ASPACK_STR_INIT_MLT_OFFSET_OTHER 0x76a
#define ASPACK_STR_INIT_MLT_OFFSET_242 0x776

#define ASPACK_COMP_BLOCK_OFFSET_212 0x6d6
#define ASPACK_COMP_BLOCK_OFFSET_OTHER 0x732
#define ASPACK_COMP_BLOCK_OFFSET_242 0x73e

#define ASPACK_WRKBUF_OFFSET_212 0x148
#define ASPACK_WRKBUF_OFFSET_OTHER 0x13a
#define ASPACK_WRKBUF_OFFSET_242 0x148

#define ASPACK_OEP_OFFSET_212 0x39b
#define ASPACK_OEP_OFFSET_OTHER 0x401
#define ASPACK_OEP_OFFSET_242 0x40d

然后把全新的unpack函数给加进来（原来只有unpack212函数）

aspack.h里面也要加一下函数原型：

1	int unaspack(uint8_t image, unsigned int size, struct cli_exe_section sections, uint16_t sectcount, uint32_t ep, uint32_t base, int f, aspack_version_t version);

关于epbuff_offset

不同版本下，epbuff_offset都不太一样

比如我的一个例子是：0x417438 - 0x417001 == 0x437

这个还是挺麻烦的。

不过我重新看了一下老师的项目要求，是明确了ASPACK2.12

修改了下others.h

1 2	//#define cli_dbgmsg (!UNLIKELY(cli_debug_flag)) ? (void)0 : cli_dbgmsg_internal #define cli_dbgmsg printf

参考

Release ClamAV 1.1.0 · Cisco-Talos/clamav (github.com)

aspack.c (uncg.edu)

sourceforge.net/projects/clamunpacker/

本文作者： Taardis
本文链接： https://taardisaa.github.io/2023/06/13/分析clamav/
版权声明： 本博客所有文章除特别声明外，均采用 Apache License 2.0 许可协议。转载请注明出处！