文件识别和构型—— 可疑文件的初步分析
文件构型流程
- 收集详细信息:对包含可疑文件的系统进行识别和用文档记录相关的系统详细资料,对可疑文件收集一些基本的文件详细信息和属性
- 操作系统,版本,内核版本,补丁级别
- 文件系统,可疑文件被发现时的完整路径
- 防火墙,安全软件
- 文件信息:文件属性,大小,数据和时间:ls -al
- 计算hash值:对可疑文件生成一个加密hash值或者“数字指纹”
- Linux系统:md5sum filename
- 将生成的hash值存入文件: md5sum filename > md5_filename.txt 或者 md5sum filename >>malware-hashes.txt
- -c 参数 可以从hash库中读取MD5摘要值且对其进行比较
- GUI工具:MD5Summer和 Parano
- 比较:将可疑文件与已知的恶意文件样本进行比较生成文件相似点索引。
- 利用CTPH算法,该算法为一个文件计算出一系列随机大小的校验和。用于将并不完全等同但在文件内容上又很相似的文件进行关联起来。
- 工具:ssdeep工具
- 用法:
- ssdeep filename :生成hash值和完整路径
- ssdeep filename >> destPathandhashlistname
- ssdeep -m hashlist filename 给出相似度评分
- -p选项 文件与另一个文件
- 收集详细信息:对包含可疑文件的系统进行识别和用文档记录相关的系统详细资料,对可疑文件收集一些基本的文件详细信息和属性