CWSandbox 恶意软件分析:原理与报告解读
1. API 挂钩技术
在调用进程的虚拟内存中,cwmonitor.dll能够定位函数,可通过使用GetProcAddressAPI 函数,或者手动解析包含 Windows DLL 模块的导出地址表(EAT)来实现。为了捕获对特定函数的所有调用,会将JMP指令作为首个操作写入该函数的代码位置,此JMP操作用于将执行重定向到自定义的挂钩函数。
以kernel32.dll中的CreateFileA函数为例,该函数用于打开现有文件或创建新文件。在挂钩安装前,函数的原始版本中,前三条指令显示在浅灰色框中,后续指令在深灰色框中。安装挂钩时,浅灰色框中的操作会被JMP指令覆盖,而深灰色框中的字节则保持不变。在覆盖函数引入字节之前,需要将这些字节保存到其他内存位置,即SavedStub,以便后续执行原始 API 函数。
当调用CreateFileA函数时,首先执行JMP操作,将控制权委托给挂钩函数。若要在挂钩函数内部调用原始 API,需先执行SavedStub,然后将控制权传回原始 API 函数。这种 API 挂钩形式是用户模式下最有效且便捷的方式,但可能会被恶意软件检测到。因此,后续版本的 CWSandbox 将采用某种内核模式挂钩技术。此外,应用程序也可以不使用 Windo
