Hidden Bee恶意软件逆向分析教学文档<\/h1>

1. Hidden Bee恶意软件概述<\/h2>
Hidden Bee是一种复杂的恶意软件家族，其特点在于使用了非标准的文件格式来存储payload。与大多数恶意软件使用标准PE格式不同，Hidden Bee采用了自定义的二进制格式，这使得传统的静态分析工具难以直接解析。<\/p>

2. Hidden Bee的payload结构<\/h2>

Hidden Bee的payload通常包含两个主要组件：<\/p>

加载器payload<\/strong>（扩展名为.wasm）：负责下载和解压Cabinet文件<\/li>

核心payload<\/strong>：从Cabinet文件中解压出来的主功能模块<\/li> <\/ol>
这两个模块都采用了相同的自定义格式，而非标准的PE格式。<\/p>
3. 自定义格式头部结构分析<\/h2>
Hidden Bee的自定义格式以一个精心设计的头部开始，其结构如下：<\/p>
typedef<\/span> struct<\/span> { <\/span><\/span> DWORD magic; \/\/ 格式识别号，固定为0x10000301 <\/span><\/span><\/span><\/span> WORD dll_list; \/\/ 指向DLL列表的偏移量 <\/span><\/span><\/span><\/span> WORD iat; \/\/ 指向导入地址表(IAT)的偏移量 <\/span><\/span><\/span><\/span> DWORD ep; \/\/ 程序入口点偏移量 <\/span><\/span><\/span><\/span> DWORD mod_size; \/\/ 整个模块的大小 <\/span><\/span><\/span><\/span> DWORD relocs; \/\/ 重定位表偏移量 <\/span><\/span><\/span><\/span> DWORD relocs_size; \/\/ 重定位表大小 <\/span><\/span><\/span><\/span>} t_bee_hdr; <\/span><\/span><\/code><\/pre>头部字段详解<\/h3> magic<\/strong>：固定值0x10000301，作为格式识别标志<\/li> dll_list<\/strong>：指向DLL名称列表的偏移量<\/li> iat<\/strong>：指向导入地址表的偏移量<\/li> ep<\/strong>：程序入口点偏移量<\/li> mod_size<\/strong>：整个模块的总大小<\/li> relocs<\/strong>：重定位表偏移量<\/li> relocs_size<\/strong>：重定位表大小<\/li> <\/ol> 4. 导入函数处理机制<\/h2> Hidden Bee使用了一种特殊的导入函数处理方式：<\/p> DLL列表结构<\/h3> typedef<\/span> struct<\/span> { <\/span><\/span> WORD func_count; \/\/ 从该DLL导入的函数数量 <\/span><\/span><\/span><\/span> char<\/span> name[]; \/\/ DLL名称字符串(以null结尾) <\/span><\/span><\/span><\/span>} t_dll_name; <\/span><\/span><\/code><\/pre>每个DLL名称前都有一个WORD值，表示从该DLL导入的函数数量。<\/p> 导入函数名称处理<\/h3> Hidden Bee不直接存储导入函数名称，而是使用校验和(checksum)来标识函数。校验和计算算法如下：<\/p> DWORD checksum<\/span>(char<\/span> *<\/span>func_name) { <\/span><\/span> DWORD result =<\/span> 0x1505<\/span>; <\/span><\/span> while<\/span> (*<\/span>func_name) { <\/span><\/span> result =<\/span> *<\/span>func_name++<\/span> +<\/span> 33<\/span> *<\/span> result; <\/span><\/span> } <\/span><\/span> return<\/span> result; <\/span><\/span>} <\/span><\/span><\/code><\/pre>这个算法初始化结果为0x1505，然后对每个字符执行result = current_char + 33 * previous_result<\/code>的计算。<\/p> 5. 重定位机制<\/h2> Hidden Bee的重定位表与PE格式的重定位表类似，包含模块加载时需要调整的偏移量列表。重定位表由以下两部分组成：<\/p> relocs<\/strong>：重定位表起始偏移量<\/li> relocs_size<\/strong>：重定位表大小<\/li> <\/ol> 在加载时，需要将模块的基地址(base)加到重定位表中的每个地址上。<\/p> 6. 与PE格式的对比<\/h2> 特性<\/th> PE格式<\/th> Hidden Bee格式<\/th> <\/tr> <\/thead> 头部复杂度<\/td> 复杂，多个头部<\/td> 简单，单一头部<\/td> <\/tr> 导入处理<\/td> 标准导入表<\/td> 使用校验和的简化导入表<\/td> <\/tr> 重定位<\/td> 标准重定位表<\/td> 类似但简化的重定位表<\/td> <\/tr> 内存权限<\/td> 按section设置<\/td> 整个模块需要RWX权限<\/td> <\/tr> 加载方式<\/td> Windows加载器<\/td> 需要自定义加载器<\/td> <\/tr> <\/tbody> <\/table> 7. 静态分析方法<\/h2> 由于非标准格式，静态分析需要特殊处理：<\/p> IDA Pro加载<\/strong>：可以以原始二进制形式加载，但会丢失导入信息<\/li> 自定义工具<\/strong>：开发工具将校验和解析为函数名<\/li> 标签生成<\/strong>：生成TAG文件标记函数地址偏移量<\/li> IDA插件<\/strong>：使用IFL插件加载生成的标签<\/li> <\/ol> 8. 动态分析方法<\/h2> 需要开发自定义加载器来正确加载这种格式：<\/p> 内存分配<\/strong>：分配具有RWX权限的连续内存区域<\/li> 重定位处理<\/strong>：应用重定位表调整地址<\/li> 导入解析<\/strong>：解析校验和并填充IAT<\/li> 执行<\/strong>：跳转到入口点开始执行<\/li> <\/ol> 9. 技术总结<\/h2> Hidden Bee使用自定义格式而非标准PE格式<\/li> 格式设计比shellcode复杂但比PE简单<\/li> 使用校验和而非名称来标识导入函数<\/li> 需要自定义工具进行完整分析<\/li> 这种完全定制的格式在恶意软件中较为罕见<\/li> <\/ol> 10. 分析工具开发建议<\/h2> 为了有效分析Hidden Bee样本，建议开发以下工具：<\/p> 格式解析器<\/strong>：解析自定义头部和结构<\/li> 导入函数解析器<\/strong>：将校验和映射到实际API名称<\/li> IDA Pro插件<\/strong>：增强IDA的解析能力<\/li> 自定义加载器<\/strong>：用于动态分析<\/li> <\/ol> 11. 防御建议<\/h2> 监控异常内存分配（特别是RWX权限）<\/li> 检测非标准格式的可执行内容<\/li> 关注校验和算法的使用<\/li> 分析网络流量中的Cabinet文件下载<\/li> <\/ol>

特性<\/th>	PE格式<\/th>	Hidden Bee格式<\/th> <\/tr> <\/thead>
头部复杂度<\/td>	复杂，多个头部<\/td>	简单，单一头部<\/td> <\/tr>
导入处理<\/td>	标准导入表<\/td>	使用校验和的简化导入表<\/td> <\/tr>
重定位<\/td>	标准重定位表<\/td>	类似但简化的重定位表<\/td> <\/tr>
内存权限<\/td>	按section设置<\/td>	整个模块需要RWX权限<\/td> <\/tr>
加载方式<\/td>	Windows加载器<\/td>	需要自定义加载器<\/td> <\/tr> <\/tbody> <\/table> 7. 静态分析方法<\/h2> 由于非标准格式，静态分析需要特殊处理：<\/p> IDA Pro加载<\/strong>：可以以原始二进制形式加载，但会丢失导入信息<\/li> 自定义工具<\/strong>：开发工具将校验和解析为函数名<\/li> 标签生成<\/strong>：生成TAG文件标记函数地址偏移量<\/li> IDA插件<\/strong>：使用IFL插件加载生成的标签<\/li> <\/ol> 8. 动态分析方法<\/h2> 需要开发自定义加载器来正确加载这种格式：<\/p> 内存分配<\/strong>：分配具有RWX权限的连续内存区域<\/li> 重定位处理<\/strong>：应用重定位表调整地址<\/li> 导入解析<\/strong>：解析校验和并填充IAT<\/li> 执行<\/strong>：跳转到入口点开始执行<\/li> <\/ol> 9. 技术总结<\/h2> Hidden Bee使用自定义格式而非标准PE格式<\/li> 格式设计比shellcode复杂但比PE简单<\/li> 使用校验和而非名称来标识导入函数<\/li> 需要自定义工具进行完整分析<\/li> 这种完全定制的格式在恶意软件中较为罕见<\/li> <\/ol> 10. 分析工具开发建议<\/h2> 为了有效分析Hidden Bee样本，建议开发以下工具：<\/p> 格式解析器<\/strong>：解析自定义头部和结构<\/li> 导入函数解析器<\/strong>：将校验和映射到实际API名称<\/li> IDA Pro插件<\/strong>：增强IDA的解析能力<\/li> 自定义加载器<\/strong>：用于动态分析<\/li> <\/ol> 11. 防御建议<\/h2> 监控异常内存分配（特别是RWX权限）<\/li> 检测非标准格式的可执行内容<\/li> 关注校验和算法的使用<\/li> 分析网络流量中的Cabinet文件下载<\/li> <\/ol>