Mit Reverse Engineering Packer und API-Hooking verstehen

Im ersten Artikel dieses Tutorials standen API-Aufrufe im Fokus. Während einige Aufrufnamen selbsterklärend sind, erschließt sich die Funktion anderer nur schwer. Glücklicherweise dokumentiert Microsoft die Windows-API-Aufrufe umfassend, inklusive Zweck, Eingaben (Parametern) und Ausgaben, was die Analyse erheblich erleichtert. Gerade deshalb versuchen viele Schadprogramme, ihre API-Aufrufe zu verbergen, beispielsweise durch Packing.

Beim Packing wird die ursprüngliche Schadsoftware komprimiert, verschleiert, verschlüsselt oder anderweitig codiert und zusammen mit Assemblercode, der den Entpackalgorithmus enthält, in eine neue ausführbare Datei eingebettet. Das soll zum einen verhindern, dass Schutzprogramme die Schadsoftware erkennen, und zum andern den Originalcode so verbergen, dass eine Analyse der Funktionsweise erschwert wird.

Freie Werkzeuge für Verteidiger und Angreifer

Packing lässt sich mit frei verfügbaren Werkzeugen durchführen. Ein bekanntes Beispiel ist UPX (Ultimate Packer for Executables), einer der wenigen Packer mit integrierter Entpackfunktion, der mit einem einzigen Befehl entpackt wird. Malware-Entwickler können UPX jedoch auch modifizieren, um das Entpacken für Reverse Engineers zu erschweren. Darüber hinaus existieren viele andere Packer. Kommerzielle Produkte wie Themida bieten zusätzliche Funktionen wie Codeverschlüsselung, Anti-Analyse und Anti-Debugging. Manche Hackergruppen setzen auch eigens entwickelte maßgeschneiderte Packer ein, die exklusiv für ihre Kampagnen verwendet werden und deutlich schwieriger zu entpacken sind.

Das war die Leseprobe unseres heise-Plus-Artikels „Mit Reverse Engineering Packer und API-Hooking verstehen“.
Mit einem heise-Plus-Abo können Sie den ganzen Artikel lesen.