当前位置 : 推广软件开发分析规范
发布时间:2021-09-15 13:58 浏览次数:次
推广软件开发分析规范
一、规范目的
本规范针对推广软件包,从开发的角度,分析推广包是否存在360无法过白以及与我司利益相冲突的情况,并明确操作流程。
二、操作流程
根据360反馈的过白失败原因,针对各种可能存在的原因采取相应的操作流程。
(一)、分析是否存在无法访问的域名
1、用反汇编工具IDA打开需要分析的推广软件二进制文件:
File->Open…->二进制文件(exe文件)
2、等待IDA自动分析过程完成。
3、用IDA工具查看该二进制文件包含的字符串:
View->Open subviews->Strings
4、在IDA字符串窗口查看域名字符串:
5、在接口测试工具Postman中请求查找到的域名:
如果Status显示的是非200的返回值,说明该域名无法正确访问,如果出现这种情况,则有可能无法过白。
(二)、分析是否存在无法访问的接口
1、在测试环境下运行Wireshark网络封包分析工具。
2、安装并运行需要分析的推广软件的二进制文件。
3、在IDA中查看需要测试的域名。
4、在Wireshark的过滤规则输入框中按如下规则过滤域名:
http.host contains 域名
5、在Wireshark的封包列表中将会显示所有与该域名相关的接口信息:
6、在Wireshark的封包详细信息中查看需要测试的域名接口:
7、在接口测试工具Postman中请求查找到的域名:
如果Status显示的是非200的返回值,说明该域名无法正确访问,出现这种情况,则有可能无法过白。
(三)、分析是否访问不存在的文件
1、用IDA工具查看该二进制文件包含的字符串:
View->Open subviews->Strings
2、在IDA字符串窗口搜索常见文件后缀,IDA字符串窗口会显示该二进制代码中包含的该类型文件名:
3、在文件搜索工具everything中逐一搜索上述出现的文件名。
4、安装并运行需要分析的推广软件的二进制文件。
5、在文件搜索工具everything中再次逐一搜索上述出现的文件名,将搜索结果与上次搜索结果进行对比,查看是否有上述文件生成,如果没有上述文件生成,则有可能无法过白。
(四)、分析是否存在杀软检测行为
1、在IDA中加载需要分析的推广软件二进制文件。
2、在IDA的字符串窗口搜索如下字符:
“qqpcrtp.exe”、“qqpctray.exe”、“zhudongfangyu.exe”、“360tray.exe”、“kxescore.exe”、“baiduantray.exe”、“msmpeng.exe”、“2345safetray.exe”、“HipsDaemon.exe”、“HipsTray.exe”。
3、如果存在上述字符串,则有可能无法过白。如果不存在上述字符串,则在IDA中查看是否包含如下类似代码,如果存在则有可能无法过白。
(五)、分析是否存在网吧环境检测行为
1、在IDA中加载需要分析的推广软件二进制文件。
2、在IDA的字符串窗口搜索如下字符串:
“vdiskbus”、“netzone”、“diskless”、“richdisk”、“deepin”、“kic.disk”、“nmenu”、“alddisk”、“vhd cms”、“mzd.live”、“ccboot”、“vnd scsi”、“bnvirtualscsihba”、“bxp virtual”、“s.t. virtual”、“kb.mdisk”、“hin virtual”、“obm virtual”、“msft virtual”。
3、如果存在上述字符串,则有可能无法过白。如果不存在上述字符串,则在IDA中查看是否包含如下类似代码,如果存在则有可能无法过白。
(六)、分析是否存在检测调试环境的行为
1、在IDA中加载需要分析的推广软件二进制文件。
2、在IDA的字符串窗口搜索如下字符:
“IsDebuggerPresent”、“CheckRemoteDebuggerPresent”。
3、如果存在上述字符串,则有可能无法过白。如果不存在上述字符串,则在IDA中查看是否包含如下类似代码,如果存在则有可能无法过白。
(七)、分析是否存在明文传输密码,不符合安全规范
1、在测试环境下运行Wireshark网络封包分析工具。
2、安装并运行需要分析的推广软件的二进制文件,并进行登录操作。
3、在Wireshark的封包列表中查看相关网络请求封包。
4、在Wireshark的封包详细信息中查看网络请求封包中的用户名和密码字段,如果是明文传输的,有可能无法过白。
(八)、分析是否存在反调试行为
1、用动态调试工具OllyDBG打开需要分析的推广软件二进制文件:
File->Open…->二进制文件(exe文件)
2、在动态调试工具OllyDBG中运行该二进制文件:
Debug->Run(F9)
3、观察二进制文件的运行情况,如果没有错误提示且自动退出应用程序,说明该二进制文件存在检测调试环境的行为,有可能无法过白。
(九)、分析是否存在浏览器变现行为
1、在IDA中加载需要分析的推广软件二进制文件。
2、在IDA的字符串窗口搜索常见浏览器进程名。
3、如果存在常见浏览器进程名字符串,则有可能无法过白。如果不存在上述字符串,则在IDA中查看是否包含与浏览器相关操作的代码,如果存在则有可能无法过白。
(十)、分析是否存在检测虚拟机环境的行为
1、在IDA中加载需要分析的推广软件二进制文件。
2、利用IDA的反编译成伪代码(F5)的功能按照代码流程分析代码。
View->Open subviews->Generate pseudocode
3、检测虚拟机分为如下几种情况:
(1)获取虚拟网络适配器,因为虚拟机虚拟出来的网卡带有关键字VM或Virtual,代码如下:
(2)直接检测是否运行VMWare虚拟机程序。
(3)通过LDT和GDT检测虚拟机。代码如下:
(十一)、分析是否存在检测MAC地址的行为
1、在IDA中加载需要分析的推广软件二进制文件。
2、利用IDA的反编译成伪代码(F5)的功能按照代码流程分析代码。
View->Open subviews->Generate pseudocode
3、按照程序流程查看代码,如果包含以下类似代码,包括典型的获取网络适配器信息以及mac地址格式化信息,则有可能无法过白。
(十二)、基于开源软件而没有对基本信息做任何更改
1、首先需要了解当前比较流行的开源软件,可以从几个基本类别进行了解,比如压缩软件7zip(国内众多压缩软件都是基于此开源代码,比如:快压、好压、速压等),文本编辑类软件Notepad2(比如豆麦笔记和小黑记事本等)。
2、在测试机环境下安装拿到的推广软件安装包,在安装目录观察释放的文件。
3、针对不同的类别存在不同的情况:
(1)如果存在7zFM.exe和7zG.exe,则说明此软件基于7zip开发,如果没有更改此文件名,可能存在无法过白。
(2)如果存在notepad2.exe,则说明此软件基于Notepad2开发,如果没有更改此文件名,可能存在无法过白。
(十三)、分析是否存在请求不相关的baidu、jd、taobao等网站
1、在IDA中加载需要检测的二进制文件。
2、待IDA自动分析结束。
3、在IDA的字符串窗口中查找“baidu”、“jd”、“taobao”等字符串。如果存在相关网站的推广行为,如下:
(1)百度的推广链接:
https://www.baidu.com/?tn=48021271_17_hao_pg
(2)京东的推广链接:
https://www.jd.com/?cu=true&utm_source=www.jiegeng.com&utm_medium=tuiguang&utm_campaign=t_1000159524_&utm_term=47cf2e1e151e49158747cacf2b74b6ca
(3)淘宝的推广链接:
https://ai.taobao.com/?pid=mm_121791806_21458534_72100314
4、如果存在以上的推广链接,则有可能存在无法过白的情况。
(十四)、分析是否存在链接库版本错误的情况
1、在测试机环境下安装并运行需要分析的推广软件二进制文件。
2、点击运行安装目录下的所有可执行程序,如果弹出如下类似提示:
在安装目录下可以发现存在libcurl.dll,而提示计算机丢失libcurld.dll,说明可执行程序在编译生成的时候链接的是debug版本的动态链接库,而安装程序释放的是release版本的动态链接库,这样导致程序无法正常运行,则有可能存在无法过白的情况。
3、可以通过PEiD工具查看验证可执行程序的编译版本:
可以看到通过PEiD工具查看idesk.exe的编译生成选项是debug版本的,而libcurl.dll是release版本的。
(十五)、分析是否存在服务并存在云控行为
1、在测试机环境下安装并运行需要分析的推广软件的二进制文件。
2、打开进程侦测工具Process Explorer并观察系统中的进程情况。
3、查看是否存在异常进程存在于系统服务svchost.exe中:
4、在Process Explorer中查看由异常进程拉起的其他进程:
5、在任务管理器中查看相关进程拉起的推广进程,根据进程启动参数可以判断是否存在云控行为:
6、如果存在以上行为的,可能会存在无法过白的情况。
(十六)、分析是否存在加密PE数据并解密运行的行为
1、利用静态分析工具IDA加载需要分析的推广软件的二进制文件。
2、等待IDA自动分析完成,并搜索是否含有与资源加载相关函数:
FindResourceW
LoadResource
3、定位到相关代码处,分析代码是否存在资源加载的行为:
可以看到加载的资源类型是二进制数据。
4、接下来应该判断该二进制数据是否是PE格式文件,继续跟踪上述加载二进制数据资源的代码,比如上述代码中的函数sub_100062B0:
其中23117为十六进制5A4D,其中5A4D为字符串“MZ”,是PE文件的IMAGE_DOS_HEADER的标志:
根据此标志判断解密后的数据是否为PE格式文件,可以判断为加解密PE文件行为,如果该PE文件存在360报毒或报警行为,则有可能整个可执行程序无法过白。
三、备注(新增的360反馈)
根据360反馈的过白失败的原因,如果不在上述范围,则将形成新的操作流程的检测方法加入到该规范,持续更新。
欢迎使用Markdown编辑器
你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdown编辑器, 可以仔细阅读这篇文章,了解一下Markdown的基本语法知识。
新的改变
我们对Markdown编辑器进行了一些功能拓展与语法支持,除了标准的Markdown编辑器功能,我们增加了如下几点新功能,帮助你用它写博客:
全新的界面设计 ,将会带来全新的写作体验;
在创作中心设置你喜爱的代码高亮样式,Markdown 将代码片显示选择的高亮样式 进行展示;
增加了 图片拖拽 功能,你可以将本地的图片直接拖拽到编辑区域直接展示;
全新的 KaTeX数学公式 语法;
增加了支持甘特图的mermaid语法1 功能;
增加了 多屏幕编辑 Markdown文章功能;
增加了 焦点写作模式、预览模式、简洁写作模式、左右区域同步滚轮设置 等功能,功能按钮位于编辑区域与预览区域中间;
增加了 检查列表 功能。
功能快捷键
撤销:Ctrl/Command + Z
重做:Ctrl/Command + Y
加粗:Ctrl/Command + B
斜体:Ctrl/Command + I
标题:Ctrl/Command + Shift + H
无序列表:Ctrl/Command + Shift + U
有序列表:Ctrl/Command + Shift + O
检查列表:Ctrl/Command + Shift + C
插入代码:Ctrl/Command + Shift + K
插入链接:Ctrl/Command + Shift + L
插入图片:Ctrl/Command + Shift + G
合理的创建标题,有助于目录的生成
直接输入1次#,并按下space后,将生成1级标题。
输入2次#,并按下space后,将生成2级标题。
以此类推,我们支持6级标题。有助于使用TOC语法后生成一个完美的目录。
如何改变文本的样式
强调文本 强调文本
加粗文本 加粗文本
标记文本
删除文本
引用文本
H2O is是液体。
210 运算结果是 1024.
插入链接与图片
链接: link.
图片:
带尺寸的图片:
居中的图片:
居中并且带尺寸的图片:
当然,我们为了让用户更加便捷,我们增加了图片拖拽功能。
如何插入一段漂亮的代码片
去博客设置页面,选择一款你喜欢的代码片高亮样式,下面展示同样高亮的 代码片.
// An highlighted block
var foo = 'bar';
1
2
生成一个适合你的列表
项目
项目
项目
项目1
项目2
项目3
计划任务
完成任务
创建一个表格
一个简单的表格是这么创建的:
项目 Value
电脑 $1600
手机 $12
导管 $1
设定内容居中、居左、居右
使用:---------:居中
使用:----------居左
使用----------:居右
第一列 第二列 第三列
第一列文本居中 第二列文本居右 第三列文本居左
SmartyPants
SmartyPants将ASCII标点字符转换为“智能”印刷标点HTML实体。例如:
TYPE ASCII HTML
Single backticks 'Isn't this fun?' ‘Isn’t this fun?’
Quotes "Isn't this fun?" “Isn’t this fun?”
Dashes -- is en-dash, --- is em-dash – is en-dash, — is em-dash
创建一个自定义列表
Markdown
Text-to- HTML conversion tool
Authors
John
Luke
如何创建一个注脚
一个具有注脚的文本。2
注释也是必不可少的
Markdown将文本转换为 HTML。
KaTeX数学公式
您可以使用渲染LaTeX数学表达式 KaTeX:
Gamma公式展示 Γ ( n ) = ( n − 1 ) ! ∀ n ∈ N \Gamma(n) = (n-1)!\quad\forall n\in\mathbb NΓ(n)=(n−1)!∀n∈N 是通过欧拉积分
Γ ( z ) = ∫ 0 ∞ t z − 1 e − t d t   . \Gamma(z) = \int_0^\infty t^{z-1}e^{-t}dt\,.
Γ(z)=∫
0
∞
t
z−1
e
−t
dt.
你可以找到更多关于的信息 LaTeX 数学表达式here.
新的甘特图功能,丰富你的文章
Mon 06
Mon 13
Mon 20
已完成
进行中
计划一
计划二
现有任务
Adding GANTT diagram functionality to mermaid
关于 甘特图 语法,参考 这儿,
UML 图表
可以使用UML图表进行渲染。 Mermaid. 例如下面产生的一个序列图::
张三
李四
王五
你好!李四, 最近怎么样?
你最近怎么样,王五?
我很好,谢谢!
我很好,谢谢!
李四想了很长时间, 文字太长了 不适合放在一行.
打量着王五...
很好... 王五, 你怎么样?
张三
李四
王五
这将产生一个流程图。:
链接
长方形
圆
圆角长方形
菱形
关于 Mermaid 语法,参考 这儿,
FLowchart流程图
我们依旧会支持flowchart的流程图:
开始
我的操作
确认?
结束
yes
no
关于 Flowchart流程图 语法,参考 这儿.
导出与导入
导出
如果你想尝试使用此编辑器, 你可以在此篇文章任意编辑。当你完成了一篇文章的写作, 在上方工具栏找到 文章导出 ,生成一个.md文件或者.html文件进行本地保存。
导入
如果你想加载一篇你写过的.md文件,在上方工具栏可以选择导入功能进行对应扩展名的文件导入,
继续你的创作。
本文来源于网络,若有侵权请联系3449817223#qq.com,将在第一时间删除。
上一篇 
下一篇:
