3.4 惡意代碼的檢測分析

第4節(jié)惡意代碼的檢測分析第3章目

錄01惡意代碼的檢測02惡意代碼的分析01惡意代碼的檢測常見惡意代碼的檢測方法特征碼掃描應(yīng)用最廣泛的惡意代碼檢測技術(shù)工作機(jī)制：特征匹配病毒庫（惡意代碼特征庫）掃描（特征匹配過程）優(yōu)點(diǎn)準(zhǔn)確(誤報(bào)率低)易于管理缺點(diǎn)效率問題（特征庫不斷龐大、依賴廠商）滯后（先有病毒后有特征庫，需要持續(xù)更新）特征碼掃描工具源代碼特征碼掃描結(jié)果特征碼掃描基于Python的惡意代碼特征碼掃描工具工具特點(diǎn)根據(jù)常見病毒特征碼進(jìn)行檢測常見惡意代碼的檢測方法沙箱沙箱技術(shù)工作機(jī)制：在虛擬環(huán)境中觸發(fā)惡意代碼樣本置于沙箱中，觸發(fā)樣本表現(xiàn)出惡意行為對(duì)樣本進(jìn)行惡意性判定和行為特征的揭示本地程序可疑程序操作系統(tǒng)和本地資源可疑程序優(yōu)點(diǎn)能發(fā)現(xiàn)高級(jí)惡意代碼（如：加殼混淆惡意代碼）能捕獲惡意代碼運(yùn)行行為缺點(diǎn)部署沙箱技術(shù)的方式存在固有缺陷常見惡意代碼的檢測方法某個(gè)木馬行為分析結(jié)果行為檢測工作機(jī)制：基于統(tǒng)計(jì)數(shù)據(jù)惡意代碼行為有哪些行為符合度優(yōu)點(diǎn)缺點(diǎn)能檢測到未知病毒易于管理誤報(bào)率高（因?yàn)閻阂獯a行為及正常軟件行為識(shí)別存在一定難度）難點(diǎn)：病毒不可判定原則常見惡意代碼的檢測方法02惡意代碼的分析惡意代碼分析技術(shù)惡意代碼分析技術(shù)-靜態(tài)分析概念程序靜態(tài)分析（ProgramStaticAnalysis）是指在不運(yùn)行代碼的方式下，通過詞法分析、語法分析、控制流、數(shù)據(jù)流分析等技術(shù)對(duì)程序代碼進(jìn)行分析，驗(yàn)證代碼是否滿足規(guī)范性、安全性、可靠性、可維護(hù)性等指標(biāo)的一種代碼分析技術(shù)。優(yōu)點(diǎn)不需要運(yùn)行惡意代碼，不會(huì)影響運(yùn)行環(huán)境的安全?？梢苑治鰫阂獯a的所有執(zhí)行路徑。隨著復(fù)雜度的提高，執(zhí)行路徑數(shù)量龐大，冗余路徑增多，分析效率較低。缺點(diǎn)惡意代碼分析技術(shù)-動(dòng)態(tài)分析概念動(dòng)態(tài)分析技術(shù)是指在虛擬運(yùn)行環(huán)境里，運(yùn)行程序代碼并使用監(jiān)控及測試軟件分析的技術(shù)。若運(yùn)行的程序代碼為惡意代碼，最終可檢測出惡意代碼行為。優(yōu)點(diǎn)缺點(diǎn)針對(duì)性強(qiáng)具有較高的準(zhǔn)確性由于分析過程中覆蓋的執(zhí)行路徑有限，分析的完整性難以保證。惡意代碼分析技術(shù)靜態(tài)分析技術(shù)文件名分析文件長度特征文件位置特征文件時(shí)間特征文件版本特征數(shù)字簽名程序形態(tài)特征常規(guī)分析格式分析PE信息API查看字符串信息資源信息靜態(tài)分析技術(shù)代碼分析樣本文件格式：PE文件（.exe、.dll）、腳本文件等。PE信息分析(是否加殼、加殼類型等)API調(diào)用附加數(shù)據(jù)分析（字符串、資源）常用靜態(tài)分析工具：IDAPro（交互式反匯編器專業(yè)版）動(dòng)態(tài)分析技術(shù)動(dòng)態(tài)分析的常見方法-程序功能分析在進(jìn)行程序代碼動(dòng)態(tài)分析時(shí)，需要根據(jù)程序的功能來判斷程序運(yùn)行流程，并且需要在其中找出問題代碼的關(guān)鍵點(diǎn)，找到關(guān)鍵點(diǎn)后，即可進(jìn)行下一步的調(diào)試。程序代碼動(dòng)態(tài)分析關(guān)鍵判斷點(diǎn)是否進(jìn)行API的調(diào)用是否進(jìn)行文件的讀寫：包括新增內(nèi)容、刪除內(nèi)容、改動(dòng)內(nèi)容是否進(jìn)行注冊(cè)表的讀寫：新增注冊(cè)表、刪除注冊(cè)表、改動(dòng)注冊(cè)表是否進(jìn)行內(nèi)核的調(diào)用動(dòng)態(tài)分析技術(shù)動(dòng)態(tài)分析的常見方法-代碼行為分析通過分析程序的功能找到關(guān)鍵點(diǎn)后，還需要分析代碼的攻擊行為，根據(jù)攻擊行為可以進(jìn)一步判斷是否為包含惡意帶代碼的攻擊程序。常見惡意代碼行為本地行為網(wǎng)絡(luò)行為傳播方式運(yùn)行位置感染方式其他結(jié)果為惡意代碼查殺防御提供支撐！動(dòng)態(tài)分析技術(shù)OllyDbg調(diào)試工具文件列表在動(dòng)態(tài)分析技術(shù)中最重要的工具是調(diào)試器，分為如下兩種用戶模式例如：OllyDbg、x64dbg等。內(nèi)核模式例如：WinDbg。惡意代碼分析工具經(jīng)過UPX加殼的程序程序查殼工具-PEiD工具簡介PEiD可以用來檢測加殼器的類型或用來鏈接應(yīng)用程序的編譯器類型。使用方法直接載入惡意代碼文件即可。結(jié)果分析類似工具若掃描成功，會(huì)在文本框給出所加殼的信息。當(dāng)文本框不顯示時(shí)，可以看EP節(jié)點(diǎn)名字，可能就是所加殼的類型。ExeinfoPE惡意代碼分析工具注：通過IDAPro完整地分析惡意代碼程序，需要具備大量計(jì)算機(jī)基礎(chǔ)知識(shí)（匯編語言、C語言等），難度很大。IDAPro工具工作界面靜態(tài)分析工具-IDAPro工具簡介IDAPro是一款靜態(tài)反編譯軟件，主要通過反編譯、調(diào)試對(duì)程序代碼進(jìn)行分析或進(jìn)行漏洞研究。使用方法安裝工具后載入需要分析的程序即可。IDA反匯編流程確定需要進(jìn)行反匯編的代碼區(qū)域逐條讀取指令，查表，輸出匯編語言描述符確定各個(gè)函數(shù)的起始和結(jié)束位置類似工具GhidraOllyDbg工具工作界面注：通過OllyDbg完整地調(diào)試惡意代碼程序，需要具備大量計(jì)算機(jī)基礎(chǔ)知識(shí)，難度較大。惡意代碼分析工具動(dòng)態(tài)分析工具-OllyDbgOllyDbg是當(dāng)前主流的動(dòng)態(tài)跟蹤調(diào)試工具，通過OllyDbg可以動(dòng)態(tài)分析程序的運(yùn)行過程及動(dòng)態(tài)。OllyDbg常被用來破解軟件。免安裝版直接打開工具載入調(diào)試程序即可。嘗試正常運(yùn)行程序判斷程序關(guān)鍵功能點(diǎn)判斷是否加殼進(jìn)行程序運(yùn)行流程調(diào)試X64Dbg、WinDbg、SoftICE工具簡介使用方法類似工具OllyDbg動(dòng)態(tài)調(diào)試流程惡意代碼分析工具Web惡意代碼分析-Wireshark工具簡介Wireshark是一款網(wǎng)絡(luò)數(shù)據(jù)包分析工具。通過Wireshark可以分析網(wǎng)絡(luò)層的數(shù)據(jù)包詳細(xì)內(nèi)容，也可以分析應(yīng)用層的數(shù)據(jù)包（如：網(wǎng)站瀏覽數(shù)據(jù)）。使用方法選擇指定網(wǎng)絡(luò)接口開啟數(shù)據(jù)監(jiān)聽并分析。Wireshark流程捕獲數(shù)據(jù)包篩選分析條件分析數(shù)據(jù)包類似工具TcpDump（Linux平臺(tái)）持久性后門分析粘滯鍵后門腳本粘滯鍵后門啟動(dòng)效果注：有關(guān)于后門分析的詳細(xì)操作步驟，請(qǐng)參閱第三章/持久性后門安全分析.mp4Windows常見后門-粘滯鍵后門后門簡介粘滯鍵指的是電腦使用中的一種快捷鍵，主要功能是方便Shift等鍵的組合使用。攻擊者利用粘滯鍵調(diào)用的特性，將cmd.exe植入到系統(tǒng)，形成持久性后門。植入方式攻擊者通常會(huì)在入侵系統(tǒng)后，通過遠(yuǎn)程執(zhí)行命令或腳本植入后門，也會(huì)通過其他方式（如：釣魚郵件、釣魚網(wǎng)站等）誘導(dǎo)用戶植入。STEP1網(wǎng)站木馬動(dòng)態(tài)分析注：有關(guān)于網(wǎng)站木馬分析的詳細(xì)操作步驟，請(qǐng)參閱第三章/利用流量分析工具分析網(wǎng)站木馬攻擊行為.mp4一句話木馬分析打開需要分析的數(shù)據(jù)包STEP2分析木馬連接地址STEP3分析木馬入口密碼STE