沙箱工具在僵尸网络恶意软件分析中的应用与解析
1. API 挂钩技术原理
在调用进程的虚拟内存中,cwmonitor.dll能够定位特定函数。它可以通过使用 API 函数GetProcAddress或者手动解析包含 Windows DLL 模块的导出地址表(EAT)来实现这一目的。为了捕获对特定函数的所有调用,会将一条 JMP 指令作为第一个操作写入该函数的代码位置。这个 JMP 操作的作用是将执行流程重定向到一个自定义的挂钩函数。
以kernel32.dll中的CreateFileA函数为例,它用于打开现有文件或创建新文件。在未进行挂钩操作时,该函数的前三条指令显示在浅灰色框中,后续指令显示在深灰色框中。当安装挂钩时,浅灰色框中的操作会被 JMP 指令覆盖。在安装挂钩之前,需要将函数开头的字节保存到其他内存位置,因为后续执行原始 API 函数时可能会用到这些字节,这些保存的字节被存储在名为SavedStub的位置。
当调用CreateFileA函数时,首先执行 JMP 操作,将控制权委托给挂钩函数。如果在挂钩函数内部需要调用原始 API 函数,则先执行SavedStub,然后将控制权传回原始 API 函数,接着执行深灰色框中未被修改的操作。这种 API 挂钩方式是在用户模式下最有效且便捷的方法,但容易被恶意软件检测到,因此后续版本的 CWSandbox 将采用内核模式挂钩。