恶意代码分析——基础技术篇

已于 2022-04-07 01:56:59 修改
阅读量8.9k 收藏 45
点赞数 5
文章标签: 安全
于 2022-04-05 02:15:19 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Woolemon/article/details/123956197
版权

文章目录

恶意代码分析目的

  • 获取特征码
  • 撰写分析报告
  • 制作专杀工具

恶意代码分析方法

在这里插入图片描述
静态分析基础技术(快速分析技术):检查可执行文件但不查看具体指令的一些技术。静态分析基础技术可以确认一个文件是否是恶意的,提供有关其功能的信息,有时还会提供一些信息让我们生成简单网络特征码。
动态分析基础技术:涉及运行恶意代码并观察系统上的行为,以移除感染,产生有效的检测特征码,或者两者。
静态分析高级技术:主要是对恶意代码内部机制的逆向工程,通过可执行文件装载到反汇编器中,查看程序指令来发现恶意代码做了什么。
动态分析高级技术:使用调试器来检查一个恶意可执行程序运行时刻的内部状态。

恶意代码种类

  • 后门:恶意代码将自身安装到一台计算机来允许攻击者访问。后门程序能让攻击者很少甚至无需认证即可连接到远程计算机上在本地系统执行命令。
  • 僵尸网络:指采用一种或多种传播手段,将大量主机感染bot程序(僵尸程序)病毒,从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。
  • 下载器:这是一类仅用于下载恶意代码到本地上的恶意代码。
  • 间谍软件:一种能够在用户不知情的情况下,在其电脑上安装后门、收集用户信息发生给攻击者的软件。
  • 启动器:用于启动恶意代码程序的恶意代码,具有隐蔽性。
  • 内核套件:用来隐藏恶意代码的工具。通常与其他恶意代码(如后门)组合成套装,来允许攻击者远程访问并很难被受害用户发现。
  • 勒索软件:攻击者通过锁屏、加密文件等方式劫持用户资产或资源以此向用户敲诈钱财的一种恶意软件。
  • 蠕虫或计算机病毒:可以自我复制和感染其他计算机的恶意代码。

恶意代码静态分析

环境

虚拟机!!!

在线反病毒引擎

我们在分析一个可疑的恶意代码样本时,第一步最好用多个反病毒软件对该样本进行扫描,看是否有引擎能识别它。
常用在线杀毒:VirSCAN、VIRSTOTAL
注意!在线杀毒适用于该恶意代码样本敏感度不高情况下使用。

获取哈希值(certutil-hanshfile path MD5)

哈希值又称恶意代码的指纹,恶意代码样本通过哈希程序会产生一段用于标识这个样本的独特哈希值。
在虚拟机中执行!
获取哈希值方法之一:MD5算法或者SHA-1算法
如:使用免费下载的md5deep程序计算windows操作系统自带solitaire程序哈希值

输入命令:md5deep solitaire程序路径

获取哈希值方法之二:用系统命令获取样本的md5

输入命令:certutil -hashfile 路径/file.exe MD5

注意!有时命令执行不了,可能是该虚拟机还没有此命令。

查找字符串hive string ida火绒剑

从字符串中搜索是获得程序功能提示的一种简单方法。
基本知识

  • 字节byte:8位
  • 字word:两字节,16位
  • 双字dword:四字节,32位
  • 八字节qword:八字节,64位
    使用strings程序查找字符串
    1.先到官网下载安装strings程序!
    2.然后使用命令将恶意代码里的字符串提前出来
输入命令:strings程序路径 恶意代码路径

3.将得到结果右键-标记-从头拖到尾-回车-粘贴到新建文本里
4.对文本里的字符串进行分析哪些很有可能是恶意代码
如:名字很长的域名(正常域名一般都很短),数字串(可能是含恶意代码的ip地址),错误信息提示(可提供一些有用信息)!

加壳&查壳

攻击者常常使用加壳或混淆技术将恶意代码隐藏。

文件加壳

后续会更新详细加壳与脱壳技术

使用PEiD检测加壳

PEiD可以用来检测加壳器的类型或用来链接应用程序的编译器类型。
使用方法:直接将恶意代码样本拖进来即可
如:
在这里插入图片描述
紫色框里便是该恶意代码样本加壳使用的软件版本号,但也有可能是假冒的哟。
下载PE编辑器PEditor:查看恶意代码样本的区段和日期时间标志,点击日期时间标志计算器——复制该标志到下边的解码,可看见该样本建立时间,判断其是否正确。

导入导出函数

下载PE编辑器PEditor:查看恶意代码样本的区段、目录里的导入表、导出表。
查看动态链接库里面的函数,分析该恶意代码可以会做的举动。
如:为了将程序以服务方式运行,即恶意代码会作为服务的一部分运行,必须定义ServiceMain函数。
注意!有时普通程序员在实现必要功能时可能也会这样起名哟,所以不一定这样判别是完全正确的。

获取资源信息

1.用PEditor打开恶意代码样本——点击目录——点击资源的… ——点击BIN——点击右下角的十六进制编辑器查看,若里面是个PE文件即为可执行程序——之后我们点击BIN下的101——点击右下角保存。
2.再用PEditor打开保存的文件——点击日期时间标志计算器——复制该标志到下边的解码即可得到正确时间
3.点击目录——查看导入表的函数,判断其功能
可放到IDA程序再深入分析

常见的DLL程序

  • Kernel32.dll:包含核心系统功能,如:访问和操作内存、文件和硬件等等;
  • Advapi32.dll:提供对核心windows组件的访问,比如:服务管理器和注册表;
  • User32.dll:包含所有用户界面组件,如:按钮、滚动条和控制和响应用户操作的组件;
  • Gdi32.dll:包含图形显示和操作的函数;
  • Ntdll.dll:是Windows内核的接口,可执行文件通常不直接导入这个函数,一般通过Kernel32.dll间接导入,若导入即是企图使用一些不正常提供给windows程序使用的函数。
  • Wsock32.dll和Ws2_32.dll:均是联网dll,访问其中任一个dll的程序非常可能连接网络,或是执行网络相关的任务。
  • Winint.dll:这个DLL包含了更高层次的网络函数,实现了如FTP、HTTP和NTP等协议。

恶意代码动态分析

环境

虚拟机!!!

在线沙箱

沙箱:一种在安全环境里运行不信任程序的安全机制,不用担心伤害到“真正“的系统。它包含一个虚拟环境,通过某种方式模拟网络服务,以确保被测试的软件或恶意代码能正常运行。
微步云沙箱
将恶意代码上传即可得到分析报告,可以下载恶意代码样本。
报告一般有分析摘要、文件活动、互斥量创建、注册表、网络行为和virustotal结构等。
ps:这部分内容之后可能会单独出详细学习笔记

运行恶意代码

恶意代码可以运行起来,我们的动态分析基础技术才有用哟。我们知道通常下运行一个恶意代码很简单只要双击或者命令行即可,但要运行一个恶意的dll很麻烦,因为windoes系统不知道如何自动执行它,接下来提供一个办法。
因为所有windows版本都含有rundll32.exe程序,他能给运行dll提供一个平台

输入命令:rundll32.exe 恶意代码样本路径, installA

install就像是启动dll的一个入口。
这样就可以用rundll32启动该恶意代码。
注意!还有其他命令也可以运行dll

进程监控器

进程监控器:windows系统的高级监视工具,提供一种方式来监控注册表、文件系统、网络、进程和线程行为。

进程监控器的查看

进程监控器的可配置栏里有事件序列号、时间戳、引发事件的进程名、事件操作、事件使用的路径、事件结果等。

  • 其中事件操作栏可以告诉你该程序在系统上做了什么操作!
    在这里插入图片描述

进程监控器中的过滤

因为监控器里的事件很多,设置指定过滤可以更快速找到目标。
设置过滤器:选择filter——打开过滤菜单栏——通过左上角的下拉菜单栏Reset按钮上面选择一栏——选择一个比较器——选择在过滤器里是保留还是取消。
注意!排除procmon.exe和pagefile日志记录,因为它们经常被访问且没有提供有用信息。

  • 当我们选择一个过滤器,单击Add添加每一个规则,然后单击Apply。在得到的记录中分析该程序操作了上面。
  • 过滤器仅仅用于显示过滤,所以当恶意代码释放另一个可执行程序并运行时,这些信息也会被记录。因此当看到有其释放其他程序时,要改变过滤器的设置以显示释放程序的名字,再单击Apply,与释放恶意程序相关事件就会被显示。
    注册表:通过检查注册表操作,能辨别一个恶意程序是怎样把自己添加到注册表中注册的。
    文件系统:检查文件系统能显示恶意程序创建的所有文件,或它使用的配置文件。
    进程行为:检查进程行为能告诉我们恶意程序是否启动了其他进程。
    网络:识别网络连接能向我们展示恶意程序监听的任意端口。

进程浏览器Process Explorer

这是微软的免费产品,一款强大的任务管理器,是进行动态分析的必备工具。它能让使用者了解看不到的在后台执行的处理程序,可以使用它方便地管理你的程序进程。 能监视,挂起,重启,强行终止任何程序,包括系统级别的不允许随便终止的关键进程和十分隐蔽的顽固木马。

进程浏览器的显示

软件运行界面:
在这里插入图片描述
鼠标左键点击上图箭头所指图标不放开,然后移动到要查看的窗口上,即可看到该窗口的详细进程信息。
进程浏览器监控系统上执行的程序以树状结构显示,可以看到:services.exe是wininit.exe的子程序:

在这里插入图片描述

  • 红框显示六栏:Process(进程名)、CPU(cpu使用率)、PID(进程号)、Description(进程描述)等等。
  • 视图每秒更新一次,默认情况下显示,服务为粉色、进程为蓝色、新进程为绿色、被终止进程为红色。其中绿色和红色执行是是亮亮的,当进程完全启动或终止后就会改变。
  • 当双击一个进程名时,属性窗口就会打开,里面会有分析恶意代码有用信息。线程标签threads显示所有活跃线程,TCP/IP显示活跃的连接和进程监听端口,镜像标签显示磁盘上可执行程序路径。
  • 镜像标签里的验证按钮Verify可以验证磁盘上的镜像文件是否有微软的签名认证。这对验证磁盘上windows文件有没有被破坏尤其有用,因为恶意代码常常替换windows认证文件且试图隐藏。注意!该验证针对的是磁盘上而不是内存里,因此可能会失效。

比较字符串

用来识别进程替换的方法。
步骤:使用进程属性窗口的字符串( Strings )标签,通过比较包含在磁盘上可执行文件的学符串与内存中同一个可执行文件的字符串,来看两者是否同。用左下角的单选按钮在这两个字符串视图间切换。如果这两个学符串列表有很大不同,那么可能就发生了进程替换!
经过分析提取到特征码,打开wirshark并进入命令提示符输入运行dll命令及net start IPRIP命令启动服务,观察wirshark(记得暂停观察)里是否有可疑数据包

这是我学习《恶意代码分析实战》的笔记,这本书很多干货,喜欢分析代码的推荐大家去看哟~

w??oo.
关注
  • 5
    点赞
  • 45
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[网络安全自学] 八十七.恶意代码检测技术详解及总结
杨秀璋的专栏
07-16 2万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了威胁情报分析,通过Python抓取FreeBuf网站“APT”主题的相关文章。这文章将详细总结恶意代码检测技术,包括恶意代码检测的对象和策略、特征值检测技术、校验和检测技术、启发式扫描技术、虚拟机检测技术和主动防御技术基础性文章,希望对您有所帮助~
[网络安全自学] 八十八.基于机器学习的恶意代码检测技术详解
热门推荐
杨秀璋的专栏
07-19 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了传统的恶意代码检测技术,包括恶意代码检测的对象和策略、特征值检测技术、校验和检测技术、启发式扫描技术、虚拟机检测技术和主动防御技术。这文章将介绍基于机器学习的恶意代码检测技术,主要参考郑师兄的视频总结,包括机器学习概述与算法举例、基于机器学习方法的恶意代码检测、机器学习算法在工业界的应用。同时,我再结合自己的经验进行扩充,详细分享了基于机器学习的恶意代码检测技术基础性文章,希望对
恶意代码分析实战_03动态分析基础技术
kitsch0x97的博客
05-05 770
动态分析就是在运行恶意代码之后进行检查的过程。动态分析技术恶意代码分析的第二步,一般在静态分析技术进入一个死胡同的时候进行,比如恶意代码进行了混淆,或者分析师已经穷尽了可用的动态分析技术。动态分析包括在恶意代码运行时刻进行监控,以及在恶意代码运行之后来检查系统情况。与静态分析不同,动态分析能够让你观察到恶意代码的真实功能,一个行为存在于二进制程序中,并不意味着它就会被执行。动态分析也是一种识别恶意代码功能的有效方法。
恶意代码分析实战 1 静态分析基础技术
农夫果园好好喝的博客
01-24 1552
对Lab01-01.exe和Lab01-01.dll进行分析首先查看Lab-01-01.exe。然后查看Lab01-01.dll。这两个文件应该都是恶意文件。查看PE文件的结构:通过PE Tools查看文件头:Lab-01-01.exe 编译时间是2010年12月19日 16:16:19.Lab-01-01.dll 编译时间是2010年12月19日 16:16:38.这两个文件编译的时间非常接近,极有可能就是同时编译的。两个文件都没有加壳迹象。
恶意代码:网络安全的隐形威胁
JAZJD的博客
05-02 1212
在当今互联互通的数字世界中,恶意代码已成为网络安全领域最棘手的问题之一。恶意代码,包括计算机病毒、蠕虫和木马,是一种旨在破坏、盗取数据或未经授权访问系统的软件。随着网络攻击的日益频繁和复杂,了解恶意代码的工作原理、检测和预防措施变得至关重要。本文将全面介绍恶意代码的类型、工作原理、隐藏技术以及检测和防范策略。恶意代码可以分为三大主要类型:计算机病毒、计算机蠕虫和计算机木马。这些类型根据其传播方式、感染行为和目的各有不同。计算机病毒 (Computer Virus)
恶意代码分析实战——Lab03-03.exe基础动态分析
妙蛙种子吃了都会妙妙秒的妙脆角的博客
11-05 1714
恶意代码分析实战——Lab03-03.exe基础动态分析 一、实验目的 综合运用多种工具,通过基础动态分析,了解Lab03-03.exe实现的基本功能 二、实验环境 winxp虚拟机 kali虚拟机 三、实验过程 1、MD5值 2、peid分析 ...
恶意样本分析手册——API函数
m0_37442062的博客
06-06 1040
文件类、网络类、注册表与服务类、进程线程类、注入类、驱动类、加密与解密、消息传递等各种类别恶意样本分析。 文件类 kernel32!CreateFile 功能:这是一个多功能的函数,可打开或创建以下对象,并返回可访问的句柄:控制台,通信资源,目录(只读打开),磁盘驱动器,文件,邮槽,管道 函数原型: HANDLE WINAPI CreateFile( _In_ LPCTSTR l...
Android 恶意样本 md5,恶意样本分析手册——常用方法
weixin_33187773的博客
05-28 806
一、文件识别常见的可执行程序格式有PE,ELF,MACH-O等,不同的格式有不同的标志信息(参考理论),知道了目标文件的格式后才能确定对应的分析方法和分析工具。可以使用16进制解析器载入可执行程序,然后查看是哪种类型的文件。图:PE文件格式图:ELF文件格式一般二进制文件的前四个字节为文件格式的magic,可以通过从网络搜索获得文件的信息,或者使用相关的工具(PEID,file)等进行自动识别。...
详解基于机器学习的恶意代码检测技术
华为云官方博客
02-25 4330
摘要:由于机器学习算法可以挖掘输入特征之间更深层次的联系,更加充分地利用恶意代码的信息,因此基于机器学习的恶意代码检测往往表现出较高的准确率,并且一定程度上可以对未知的恶意代码实现自动化的分析
[当人工智能遇上安全] 14.借助大语言模型GPT-4辅助恶意代码动态分析
杨秀璋的专栏
04-26 1243
《当人工智能遇上安全》系列将详细介绍人工智能与安全相关的论文、实践,并分享各种案例。这文章将介绍由广东省智能信息处理重点实验室发布的一项研究成果——借助大语言模型GPT-4辅助恶意代码动态分析基础性文章,希望对您有所帮助!
宏病毒的研究与实例分析01——基础1
08-03
例如,简单的宏可能只是一个显示对话框的操作,而恶意宏则可能包含执行有害活动的代码。 【VB基础和宏病毒的执行】 宏病毒的编写基于VB,因此理解VB的基本语法和结构是必要的。在VB中,Sub是过程,用于执行一系列...
LINUX内核源代码情景分析
09-07
Linux内核源代码分析首先会涉及操作系统的基本概念,如进程管理、内存管理、中断处理和调度算法等。这些是内核运行的基础,它们决定了系统的并发能力、资源分配策略和响应速度。例如,进程管理包括进程创建、撤销、...
iOS游戏应用源代码——mureev-CMHTMLView-7c3c3e8.zip
07-05
3. **安全增强**:为了防止恶意代码注入,CMHTMLView可能实现了更严格的URL过滤和安全策略,确保加载的内容安全可靠。 4. **动画支持**:游戏应用常常需要流畅的动画效果,CMHTMLView可能集成了对CSS动画和WebGL的...
栈溢出基础——ROP1.0的例题
07-13
ROP(Return-Oriented Programming)是利用栈溢出的一种高级技术,它不依赖于直接注入恶意代码,而是通过寻找存在于程序中的小段已有的可信任指令(通常称为“gadgets”),并利用这些片段构造出任意代码执行的链条...
Android SO文件保护OLLVM混淆加固——混淆(二)
10-03
OLLVM在LLVM的基础上添加了混淆功能,包括控制流混淆(CFI)、数据流混淆(DFI)和名称混淆等技术,使得反编译后的代码变得难以理解和分析。 在对Android SO文件进行混淆之前,我们需确保具备以下条件: 1. 已安装...
微软蓝屏事件引发对构建更加稳固和安全的网络环境的思考
lupai的博客
07-24 496
综上所述,构建更加稳固和安全的网络环境需要政府、企业和用户共同努力,从政策、技术、用户行为等多个方面入手,形成全方位、多层次的网络安全防护体系。构建更加稳固和安全的网络环境是一个系统工程,需要从多个方面入手,包括政策、技术、用户行为等多个层面。建立完善的应急响应机制,制定应急预案和演练计划,提高应对网络攻击和突发事件的能力。鼓励和支持网络安全技术的研发和创新,推动新技术在网络安全领域的应用和推广。加强对用户的网络安全教育,提高用户的网络安全意识和防范能力。
极速下载!青苹果系统Win7旗舰版:稳定安全
lihuiyun184291的博客
07-25 425
今天系统之家小编给大家带来了青苹果系统Win7旗舰版镜像,该版本系统离线制作而成,安全无病毒,还升级了防火墙功能,大家安装后时刻都能放心操作。同时,它是在保持原有的功能并适度优化,保留下来的功能轻松满足大家的使用需求,系统稳定性也很高,运作顺畅不卡顿。
企业如何保证公司内网安全
最新发布
shunyou0526的博客
07-25 349
部署防火墙和入侵检测系统:作为内网安全的第一道防线,防火墙和入侵检测系统能够有效阻止外部攻击和恶意软件的入侵。访问控制与身份验证:实施严格的访问控制策略,结合多因素认证(MFA),确保只有授权用户才能访问关键系统和数据。日志管理:建立全面的日志记录和审计机制,对所有数据访问、修改、删除等操作进行记录,以便于追踪和分析。电脑监控软件:使用电脑监控软件来监控员工的屏幕活动、上网行为等,防止内部威胁和不当使用公司资源。反病毒软件与反间谍软件:部署反病毒软件和反间谍软件等恶意软件防护工具,实时监测和清除恶意软件。
大数据的恶意代码分析技术
05-30
大数据在恶意代码分析方面的技术主要包括以下几个方面: 1. 恶意代码数据采集技术:通过网络流量捕获、邮件附件、磁盘镜像等方式,收集大量的恶意代码数据。 2. 恶意代码特征提取技术:通过对恶意代码进行静态和动态分析,提取恶意代码的特征,包括指令、函数、API调用、文件操作等等。 3. 恶意代码分类技术:通过机器学习、数据挖掘等技术,将恶意代码分类成不同的类型,并识别出高危的恶意代码。 4. 恶意代码行为分析技术:通过动态分析技术,监控恶意代码的行为,分析其攻击方式、攻击目标和攻击效果,以便更好地理解和应对恶意代码。 5. 恶意代码可视化技术:通过可视化技术,将恶意代码分析结果以图表、报表等形式展现出来,以便更加直观地理解和应对恶意代码。 6. 恶意代码应急响应技术:通过建立恶意代码应急响应机制,及时发现和应对恶意代码的攻击,包括隔离感染的主机、清除病毒等。 以上是大数据在恶意代码分析方面的一些技术,这些技术通过结合实际应用场景,可以更好地发现和应对新型的网络攻击和病毒,保障企业和组织的信息安全
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值