恶意软件分析基础(Part2)


发布人:admin分类:网络安全浏览量:27发布时间:2017-12-12

在前面恶意软件分析基础(Part1)》我们已经介绍了恶意软件静态分析基础知识,这篇文章是关于恶意软件动态分析的技术讲解。

正如前一篇文章中提到的:由于代码混淆,加壳等因素导致静态分析对于恶意软件来说限制太多。

注意事项

在讲解动态分析恶意软件之前,一定要有一个安全的环境,可以考虑使用虚拟机搭建一个Windows环境。记住在执行恶意二进制代码之前一定要创建一个快照,这样便于快速恢复。

使用Process Monitor分析

Process Monitor是一款Windows平台下优秀的监视工具,该工具提供了一种可监视特定注册表,文件系统,网络,进程以及线程活动的方法。Process Monitor能够监视所有系统调用并迅速收集信息。因为Windows OS总是有许多的系统调用,有时候我们获取到的东西毫无价值,Process Monitor通过一个过滤选项卡来解决了这个问题。参阅下面的截图,它显示了我对“WriteFile”和“RegSetValue”设置了一个过滤操作。这些通常都是恶意可执行文件调用,将文件写入磁盘并改变注册表信息。

在应用这个过滤之后,我们从Process Monitor得到以下事件的列表:

最重要的是前两项,其显示了可执行文件,创建了一个名为“Video Driver”的注册表条目。其他条目可以自动忽略了,因为它通常生成伪随机数。点击第一个条目,我们甚至可以看到调用了那些东西,下面的截图已清楚表明,总共有7168字节通过这个二进制文件被写入到文件系统。

使用Process Explorer分析

Process Explorer是一款用来执行动态分析的工具,它能够洞察到系统当前进程。下面这个例子就是在运行二进制文件之后创建的一个进程,单击进程可以帮助你查看进程的变化。

当然,这款工具也能够将DLL会使用到的所有函数信息报告给使用者。下面的截图显示了一个进程使用了ws2_32.dll,这意味着网络连接将由这个进程操控。

双击一个特定的进程将会产生更多有关该进程的信息,下面就是一些重要属性。

1.在检测每一个进程时都有一个验证选项,用以检验其是否有微软签名。截图描述的这个二进制就没有微软签名:

2.线程选项将展示与这一进程相关联的线程数量。

3.字符串选项可以帮助确定是否有进程被替换。

下面的截图展示了在内存和磁盘中可执行文件的字符串选项:

使用INetSim

INetSim是一款基于Linux模拟常见网络服务的免费软件,通过模拟服务(HTTP,HTTPS,FTP,IRC,DNS,SMTP等),允许你来分析未知恶意代码的网络行为。因为是基于Linux,所以需要在Linux机器上进行安装,并将其与测试用的Windows机器保持在同一个网络。

INetSIM适合各种类型的服务请求。例如,假定一个恶意软件从代码执行一个图片请求,INetSIM可以完成这个恶意软件请求,尽管这个图片不是恶意软件所需要的那张,但是INetSIM会保证代码继续执行下去。

下期预告

在下期中,我们将结合动态分析与静态分析对恶意软件进行解剖。

*参考来源infosec,译者/鸢尾 转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)


被黑站点统计 - 文章版权1、本主题所有言论和图片纯属会员个人意见,与本文章立场无关
2、本站所有主题由该文章作者发表,该文章作者与被黑站点统计享有文章相关版权
3、其他单位或个人使用、转载或引用本文时必须同时征得该文章作者和被黑站点统计的同意
4、文章作者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任
5、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责
6、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意
7、被黑站点统计管理员有权不事先通知发贴者而删除本文

免责声明

本站主要通过网络搜集国内被黑网站信息,统计分析数据,为部署安全型网络提供强有力的依据.本站所有工作人员均不参与黑站,挂马或赢利性行为,所有数据均为网民提供,提交者不一定是黑站人,所有提交采取不记名,先提交先审核的方式,如有任何疑问请及时与我们联系.

admin  的文章


微信公众号

微信公众号


Copyright © 2012-2022被黑网站统计系统All Rights Reserved
页面总访问量:21375519(PV) 页面执行时间:89.999(MS)
  • xml
  • 网站地图