恶意软件分析基础(Part1)


发布人:admin分类:网络安全浏览量:22发布时间:2017-12-12

从这里开始,我会将近期对于恶意软件分析的一些研究结果分享给大家。我们会从零基础逐渐提高到一个新的高度,在Part1中我们会讨论静态分析恶意软件。

在我们开始分析之前,我们有必要对这个领域进行一些了解。

什么是恶意软件

恶意软件是一种会对用户,电脑,网络造成损害的东西。比如病毒程序,特洛伊木马,蠕虫,rootkits,恐吓软件以及间谍软件。

静态分析恶意软件

基本的静态分析包括不查看实际的指令检查可执行文件。基本的静态分析就可以确定是否为恶意文件,并提供其函数的相关信息,有时提供的信息允许你创建简单网络签名。基本的静态分析简单方便,但它对于复杂的恶意软件,很大程度上来说就是无效的。

简单了解下,接下来开始谈谈恶意软件静态分析技术。

VirusTotal上传结果

静态分析技术第一个就是将可疑的可执行文件上传到VirusTotal,VirusTotal使用多种反病毒引擎对所上传的文件进行检测, 以判断文件是否被病毒, 蠕虫, 木马, 以及各类恶意软件感染。


寻找字符串

通过寻找字符串是一个简单的方法来获取这个程序功能提示。举个例子,如果这个程序需要访问URL,在程序中你会看到访问的URL被存储为字符串。

微软有一个叫做“Strings”的实用程序,当Strings搜索可执行的ASCII和Unicode字符串,由于它忽略环境和格式,所以它能够分析任何文件类型以及在整个文件中检测字符串(这也意味着它可能将字符作为字符串)

下面的例子就可以透露出字符串的重要信息,使用Strings工具,在CMD下使用一下命令进行搜索。

Strings <filename>

示例1:下面是从恶意软件中提取的一个关键字符串。正如我们所见到的,它给了我们很多信息,比如“FindNextFileA” 和“FindFirstFileA”这表明可执行文件可能是在查找一个文件,结合“CopyFileA” 似乎可以理解为先寻找一个文件然后在替换这个文件。另外我们还需注意“Kerne132.dll”,不要与“Kernel32.dll”搞混淆了。

译者注:Kernel32.dll是Windows 9x/Me中非常重要的32位动态链接库文件,属于内核级文件。

示例2:下面是由String工具提取的内容,它显示了我们使用的“CreateProcessA”会创建一个进程。“Exec” 和“sleep”命令用来控制一个远程文件。

示例3:下面是由String工具提取的另一个例子,亮点在于“InternetOpenURLA” 可以连接到外部服务器下载一些东西。接着,我们获取到的一个http://   文件,甚至清除了它将连接的服务器地址和下载的东西

检测被混淆的恶意软件

通常恶意软件作者都会将其代码进行混淆以降低其代码的可读性。当一个加壳程序运行时,一个封装程序运行解压缩它。使用静态分析,真的很难预测加壳内的文件,除非它提示的很明显。比如说,PEid工具有时会提示我们文件已经打包。如下图,很清楚的看到文件用UPX加壳

可以通过以下命令脱壳

upx –o <newfilename> -d <packedfilename>

从PE文件格式进行信息收集

PE文件格式是Windows可执行文件,DLL等的格式,它包含Windows OS加载运行代码的必要信息。检测PE文件,我们可以分析被调用了的函数,输出以及有什么类型的链接。

PE头

PE文件包含一个头和一些其他重要信息,接着我们就来了解一二。

.text:包含可执行代码
.rdata:这部分可以阅读全局数据
.data:通过程序访问存储的全局数据
.rsrc:这部分存储需要的可执行文件资源

许多恶意软件作者在其代码中经常会使用动态链接,使用Dependency Walker工具,在下面的截图,“WININET.dll”中有一个“InternetOpenUrlA”函数,即这个恶意软件将与一些外部服务器建立连接。

注意:Wininet.dll包含实现FTP,HTTP,NTP协议的功能

在头下面有一个分段名“IMAGE_FILE_HEADER”,它包含了时间戳字段。这个时间戳显示可执行的编译时间,这是一个非常重要的信息,因为如果年代久远,有一种情况是杀毒软件可能会有其特征。然而这个字段是不可靠的,恶意软件作者可以轻松的进行编译。

由静态分析假设,分析人员预测可执行文件会创建一个进程,接着假设发现了后面的exec和sleep命令,但是没有发现相对应的DLL信息。在这种可执行文件资源被隐藏的情况下,使用Resource Hacker工具打开PE文件中的.rsrc,来获得更多有关恶意软件的信息。

下面是使用PEview分析上述资源

当我们学会了静态分析,仅仅只能够获取到小部分可用的信息,在下一篇文章我会讲解动态分析

* 参考来源infosecinstitute,翻译/鸢尾,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)


被黑站点统计 - 文章版权1、本主题所有言论和图片纯属会员个人意见,与本文章立场无关
2、本站所有主题由该文章作者发表,该文章作者与被黑站点统计享有文章相关版权
3、其他单位或个人使用、转载或引用本文时必须同时征得该文章作者和被黑站点统计的同意
4、文章作者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任
5、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责
6、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意
7、被黑站点统计管理员有权不事先通知发贴者而删除本文

免责声明

本站主要通过网络搜集国内被黑网站信息,统计分析数据,为部署安全型网络提供强有力的依据.本站所有工作人员均不参与黑站,挂马或赢利性行为,所有数据均为网民提供,提交者不一定是黑站人,所有提交采取不记名,先提交先审核的方式,如有任何疑问请及时与我们联系.

admin  的文章


微信公众号

微信公众号


Copyright © 2012-2022被黑网站统计系统All Rights Reserved
页面总访问量:21309918(PV) 页面执行时间:58.682(MS)
  • xml
  • 网站地图