# Analiza szkodliwego oprogramowania
## Paweł Bogdan
## 4 czerwca 2018
### Bezpieczeństwo Systemów komputerowych

# Disclaimer

Prezentowane treści mają charakter **edukacyjny**.

Prezentacja pokazuje techniki testowania swojej sieci bezprzewodowej.

Wykorzystanie tych technik do siedzi cudzych jest **zabronione**.

Autor dokumentu nie bierze odpowiedzialności za to, w jakim celu wiedza przedstawiona w dokumencie zostanie wykorzystana.

## Artykuł 267 Kodeksu Karnego


> §1. Kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej, otwierając zamknięte pismo, podłączając się do sieci telekomunikacyjnej lub przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie, podlega grzywnie, karze ograniczenia wolności albo **pozbawienia wolności do lat 2**.  

# Źródła

- Książka zatytułowana _Cyberwojna. Metody działania hakerów_, napisna przez Dawida Farbańca

# Rodzaje złożliwego oprogramowania

### _Backdoor_

### Wirus komputerowy

- **wirusy rezydentne** - działają przez cały czas działania systemu operacyjnego
- **wirusy nierezydentne** - uruchamiają się i szukają celu, po wykonaniu celu kończą działanie
- **makrowirusy** - dołączane do plików programów biurowych
- **wirusy sektora rozruchowego** - infekują sektor rozruchowy (dysków i pamięci przenośnych)
- **wirusy polimorficzne** - szyfrują swój kod źródłowy
- **wirusy oligomorficzne** - ukrywają swój kod przez inne schematy
- **wirusy metamorficzne** - modyfikują swój kod źródłowy

### _File binder_

### _Keylogger_

### _Ransomware_

Oprogramowanie szantażujące

### Koń trojański

### _Adware_

### Bakteria komputerowa

Czasem nazywana _Wabbit_ lub _Rabbit_ - rozmnaża się tak długo, jak ma miejsce

### Bomba logiczna

### _Botnet_

### _Chargeware_

### _Exploit_

### _Form grabber_

### _Hoax_

Wiadomość, która zachęca do rozesłania tej wiadomości do wszystkich swoich znajomych

### Robak

### _Rootkit_

Ukrywanie złośliwego oprogramowania

### _Stealer_

# Architektura procesorów x86

## Organizacja pamięci

- Poziomy:
    - _Cache_
    - Pamięć RAM
    - Dysk twardy
- Rodzaje:
    - Wirtualna
    - Fizyczna

## Organizacja pamięci

- Jednostki
    - bit
    - półbajt i bajt
    - słowo (dwa bajty)

### Segmentowy model pamięci

- Dzielimy pamięć programu na niezależne przestrzenie adresowe
- Zazwyczaj w jednym segmencie umieszczamy kod, w innym dane
- Możemy zdefiniować do 16383 segmentów
- Jednocześnie odwołujemy się segmentów przez selektory:
    - **CS** - segment kodu
    - **DS** - segment danych
    - **ES** - segment dodatkowy
    - **FS** - segment ogólnego przeznaczenia
    - **GS** - segment ogólnego przeznaczenia
    - **SS** - segment stosu

### Płaski model pamięci

- Cała pamięć ma jedną adreację
- W systemach 32 bitowych adresy są 32 bitowe, więc można użyć adresów od 0 do $2^{32}-1$

## Rejestry procesora

### Rejestry systemowe

- Rejestry kontrolne
- Rejestry odpluskwiania
- Rejestr zadań (używany przy wykonywaniu wielu zadań jednocześnie)
- Rejestry tablicy deskryptorów (używane do zarządzania pamięcią)
- Rejestr znaczników (zawiera bity kontrolne)

### Rejestry ogólnego przeznaczenia

- `RAX`, `RBX` itp

### Rejestry segmentowe

- przechowują deskryptory segmentów

### Rejestry rozszerzeń

- dla dodatkowych zestawów instrukcji

### Rejestr flag i znaczników

- do przechowywania bitów kontrolnych i statusu

## Stos

- Rejestr `RSP` przechowuje adres wierzchołek stosu
- Są instrukcje `PUSH` i `POP`, które pozwalają zarządzać zawartością stosu

## Tryby pracy procesorów `x86`

- **Tryb chroniony**
    - przestrzeń adresowa ma co najwyżej 4GB
    - rozmiar operandów to 16 32 bity
- **Tryb rzeczywisty**
    - fizyczna przestrzeń adresowa ma rozmiar ograniczony do 1 MB
    - rozmiar operandów to 16 bitów
- **Tryb System _Management Mode_**
    - można w nim kontrolować wiele rzeczy, których normalnie kontrolować nie można (np: zarządzenie energią)

## Tryby pracy porcesorów `x86-64`

- **Tryb 64-bitowy**
    - adresy mają rozmiar 64 bitów
    - są dodatkowe rejestry
- **Tryb kompatybilności**
    - przez zmniejszenie rozmiaru adresów można uruchamiać aplikacje przeznaczone na architekturę 16- i 32-bitowe

## Tryby adresowania

- adresowanie przez rejestr:
```nasm
mov rax, rcx
```
- adresowanie natychmiastowe
```nasm
mov rax, 02h
```
- adresowanie pośrednie
```nasm
mov rax, [adres]
```

## Instrukcje procesora

- instrukcję zpisujemy przez
    - **mnemonik**
    - **opkod**
- przykład
    - `ADD rax, 02h`
    - opkod to `83`

## Jak rozkodować instrukcję


### Format instrukcji w architekturze x86(-64)

- **prefiks kompatybilności**
- **prefix `RAX`**
- **opkod**
- **bajt ModR/M**
- **bajt SIB**

#### Bajt ModR/M

- Posiada trzy pola:
    - `mod`
    - `reg`
    - `r/m`
- Określa:
    - jaka operacja jest wykonywana
    - jaki jest rodzaj operandów
    - jedno i drugir

#### Bajt SIB

- opcjonalny bajt
- wykorzystywany do adresowania:
```
Adres = B + (S * I) + P
```
gdzie:
    - `B` - **baza** zapisana w rejestrze ogólnego przeznaczenia
    - `S` - **skala**, która może przyjąć jedną z wartościL 1,2,3,4,8
    - `I` - **indeks**, wartość rejestru ogólnego przeznaczenia
    - `p` - **przesunięcie**

### Przykład

W Asemblerze:
```nasm
mov rax, 07h
```
W systemie szesnastkowym:
```
48 C7 C0 07
```
Gdzie:
- `48` - to prefix `RAX`
- `C7` - opkod instrukcji `MOV`
- `C0` - bajt `ModR/M`
- `07` - wartość natychmiastowa

# PE - Portable Executable

- format plików:
    - wykonywalnych
    - obiektowych
    - `DLL`
- można pliki PE wykonywać na każdym windowsie

## Budowa PE

- Nagłówek `MS-DOS`
- `MS-DOS` Stub program
- Nagłówek PE
- Opcjonalny nagłówek `PE`
- Nagłówek sekcji 1
- Nagłówek sekcji 2
- ...
- Nagłówek sekcji `n`
- Dane sekcji 1
- ...
- Dane sekcji `n`

## Więcej informacji

- O formacie PE można zobaczyć [tutaj](https://drive.google.com/file/d/0B3_wGJkuWLytbnIxY1J5WUs4MEk/view)
- Jak szukać poszczególnych sekcji można znaleźć [tutaj](https://drive.google.com/file/d/0B3_wGJkuWLytQmc2di0wajB1Xzg/view)
- Przykład pliku PE z omówieniem jest [tutaj](https://www.red-gate.com/simple-talk/blogs/anatomy-of-a-net-assembly-pe-headers/)

# Jak przeprowadzić statyczne skanowanie pliku?

## Przeskanuj plik w serwisie antywirusowym

## Analizę przeprowdzamy na maszynie wirtualnej

## Program w rzeczywistym systemie może się zachowywać inaczej niż w środowisku virtualnym