Questão Q650761

Para a elucidação de crimes eletrônicos, pode ser imprescindível analisar programas maliciosos, como os chamados malware. Em certos cenários, o perito pode se deparar com arquivos executáveis que não são carregados pelo sistema operacional da forma esperada, com o objetivo de esconder o próprio comportamento nocivo. Com relação à forma de análise de programas maliciosos e às respectivas técnicas de ofuscação em arquivos do tipo Portable Executable (PE), assinale a alternativa correta.

Alternativas

Com base na utilização de técnicas de debugging do código malicioso em memória, uma engenharia reversa atenciosa pode identificar entry points alternativos no arquivo executável e, com isso, realizar a respectiva análise de forma clara e direta, antes do programa malicioso iniciar a respectiva execução.

Como técnica de ofuscação, o desenvolvedor do programa malicioso pode inserir uma função de callback na Thread Local Storage (TLS) e executar uma decriptação ou, até mesmo, a identificação de debuggers antes da parada no entry point original identificado no cabeçalho PE do executável malicioso

Mesmo utilizando otimizações de compilador, o código malicioso não consegue inserir chamadas, como JUMP ou CALL, que funcionem na área de dados do executável PE.

Valores inválidos no cabeçalho PE dificultam a execução dos executáveis maliciosos em ferramentas de debugging. Porém, utilizando técnicas de análise estática, será possível encontrar a informação necessária para identificar o comportamento nocivo do executável malicioso.

Arquivos DLL podem esconder código malicioso a ser utilizado por um executável perigoso. Apesar disso, DLLs só podem ser acessadas a partir do entry point original do cabeçalho PE do arquivo executável, o que facilita a análise do arquivo que utiliza essa técnica de ofuscação.

Comentários

TLS Section

From the malware’s perspective, the array of the tls callback function started before the first instruction of the code or entry point of the exe, which does not allow a researcher to start analyzing and putting a breakpoint.

fonte:

http://resources.infosecinstitute.com/2-malware-researchers-handbook-demystifying-pe-file/

Using TLS Callbacks

You might think that when you load a program into a debugger, it will pause at the first instruction the program executes, but this is not always the case. Most debuggers start at the program’s entry point as defined by the PE header. A TLS callback can be used to execute code before the entry point and therefore execute secretly in a debugger. If you rely only on the use of a debugger, you could miss certain malware functionality, as the TLS callback can run as soon as it is loaded into the debugger.

Fonte:

Practical Malware Analysis: The Hands-On Guide to Dissecting Malicious Software
Michael Sikorski, Andrew Honig
a) Errado: se está em memória já estão em execução e portanto não há como fazer a análise antes do programa malicioso iniciar.

b) Correto.

c) Errado: É possível sim inserir chamadas JUMP ou CALL, inclusive com técnicas de ofuscação.

d) Errado: Valores inválidos no cabeçalho do PE não vão gerar problemas na execução do programa malicioso, podem enganar uma ferramenta de disassembler (não confundir com a ferramenta de debugging) inserindo dados impróprios no começo da instrução. Isto faz com que o disassembler perca a sincronização e disassemble o resto do código incorretamente (colocando 1 bit a direita ou a esquerda, o conjunto de bits seguintes implicarão na perda da instrução).

e) Errado: Arquivos DLL podem ser chamados no decorrer do código malicioso e dificultam a análise do arquivo em questão.
CHAMA A NASAAAA

SóProvas

Continue usando...

O que está incluso