文件捆绑与释放分析文档.doc

文件捆绑与释放分析文档文件捆绑与释放分析文档叶谋润本实验我承担的是 PE 文件格式的研究，木马程序的隐藏，第三方机器上的安装等10/20 日日（一）需求分析：由于直接发送木马程序，容易被用户察觉用户察觉，所以考虑将其藏匿于一个伪装文件内，躲过用户的察觉而杀毒程序杀毒程序会根据木马程序的特征代码特征代码，查杀木马，所以在藏匿的时候考虑采取特别的技术特别的技术，以欺骗杀毒程序现行的防火墙防火墙有的根据行为判断行为判断来确认程序对机器是不是构成损害，所以必须使多个文件藏匿到一个伪装文件内多个文件藏匿到一个伪装文件内的操作以及释放操作释放操作躲过检测二）实现的技术：初步预计，所需要的技术包括：文件的无损读取文件的无损读取、多个文件的多个文件的合并存放合并存放、文件信息的无损还原文件信息的无损还原、程序自身的读取程序自身的读取三）实现平台：考虑程序的可移植性（主要是在第三方机器上的兼容性问题） ，决定采用基于基于 C 语言的结构语言的结构，在 VC6.0 平台平台上实现不使用任何的扩展技术10/27 日日（一）资料收集通过两天来对网络的搜索，发现相关的资源非常难以收集虽然找到一些经典的木马经典的木马、捆绑释放工具捆绑释放工具，但是这些无一例外无一例外的能被目前几乎所有的杀毒程序发现并查杀。

相关这一方面的资料非常缺乏，几乎没有参考可言无奈，决定自己重起炉灶，设计自己的捆绑释放算法11/1考试临近，时间不多，知识运用以前积累的 C 语言对文件流的操作经验，编写了一个相当简单的文件和程序，实现了两个.exe 格式文件的合并，使用技术只是简单地将一个 exe 加到另一个 exe 文件的末尾由于程序简单，并没有留下纪录但是发现问题：测试将一个木马程序加载到一个伪装程序之后，仍旧没有办法躲过杀毒程序的查杀因此，有了一个对木马程序藏匿的初步想法：是用隔行或者隔字符的藏匿方法，简单而言：若一个程序是：aaaa，另一个程序是bbbb，则合并后变成：abababab，对于两个不等长的文件，则采取将长出的部分直接放到合并文件的末尾的方法，比如：一个程序是：aaaaaa，另一个程序是 bb，合并后变成：ababaaaa11/10经过第一次答辩，想法得到杨老师肯定，知道自己没有想错，决定按照这个想法进行下去11/20考试结束，重新开始工作初步实现初步实现了对于交错文件藏匿算法的实现，将两个.txt 格式格式文件合并成一个 txt 文件程序命名为 test1该程序仅适用于非可执行性文件的合并，在在.exe 文件的合并上文件的合并上出现问题出现问题，需进一步探索。

11/21.exe 格式文件合并仍未解决，但是提出一种新的藏匿算法新的藏匿算法考虑原算法对文件的打散程度不高，仍旧有大段代码原封不动的出现在伪装后的文件中所以提出算法如下：将多个文件按隔位插入的方式进行混合编制，对于长度较短的文件，用空格填充举例：文件一：aaa，文件二：bbbbb，文件三：cccccc，合并后：abcabcabc bc bc c程序命名为：test2命名：新算法为：算法一算法一，老算法为：算法二算法二优缺点判断：算法一：优点在于离散程度高离散程度高，隐密性更强，更加不易被发现缺点在于合并后文件长度太大文件长度太大，若有 n 个文件，则合并后总长度为最长文件长度的 n 倍算法二：优点在于文件长度合适文件长度合适，为所有 n 个文件长度之和缺点在于离散程度不高离散程度不高11/23由于没有一点可以借鉴的地方，所以为文件读\写操作的参数进行了穷举穷举调试，最终确定了.exe 文件的读取和写入参数完成了两完成了两个个.exe 文件合并文件合并为一个.exe 文件的实现在调试过程中，无意想到了确定文件长度的方法于是提出了提出了文件释放的算法文件释放的算法：将两个合并文件的长度分别得到后，加到合并后文件的特定地方，于是在释放时可以通过读取该地址上的数据，得到两个文件的长度以及其他信息，于是可以顺利的释放原文件。

程序被命名为：test311/24再接再厉，欲实现自身释放的实现自身释放的实现，意即：将需要合并的文件加载到 drop.exe 文件中，然后直接执行 drop.exe，即可释放原文件遇到问题，通过不断调试，以及对 MSDN 中相类似主体的参阅，更进一步发现了.exe 文件的格式：在每个文件的末尾存在一个接束每个文件的末尾存在一个接束符：符：EOF(End of the File)，有些有些读取文件的参数参数将自动删除自动删除 EOF，有些则不会，所以读取参数和写入参数需要正确搭配正确搭配，才能够使文件读取指针能够正确定位11/26继 24 日解决了关键性关键性的技术问题技术问题后，顺利地调试完成调试完成了自释放自释放任何格式文件算法的合并和释放实现任何格式文件算法的合并和释放实现，具体程序见 test4.由于该次测试仅为了验证提出的自释放算法的正确性，在合并上并未使用算法一、二中的任何一个11/28根据其他组员的进展，了解到最终的木马程序将包括三个文件于是尝试开发了一个使用算法一合并使用算法一合并、使用自释放算法使用自释放算法、三个文件三个文件合并合并加载到伪装程序后的程序实现，释放程序还未实现。