学习笔记-第十四章 恶意代码分析实战

第十四章 恶意代码的网络特征

1.网络应对措施。 网络行为的基本属性包括IP地址，TCP端口，以及流量内容等，网络和安全
设备可以利用它们，来提供网络应对措施。根据IP地址和端口，防火墙和路由器可以限制对
网络的访问。

入侵检测系统，入侵防御系统，以及电子邮件和web代理等其他安全应用。 作为常用术语的
入侵检测系统已经过时了。特征不再仅仅用在入侵检测方面，还可以用来检测网络扫描，服
务枚举与分析，非标准协议的使用，以及安装恶意代码的通信信令等等。

	<1>在原始环境中观察恶意代码。 恶意代码分析第一步不应该是实验环境中运行恶意代码，
	也不是解剖恶意代码分析它的反汇编代码。而应该是首先查看已经获取的关于恶意代码的
	所有数据。恶意代码分析师经常得到一个没有任何上下文的恶意代码样本(或者是可疑的可
	执行文件)，但在大多数情况下，你看可以获取恶意的更多数据。开始恶意代码网络行为分
	析的最好方法是挖掘恶意代码已经生成的日志。
	
	<2>恶意行为的总计
	
	<3>操作安全性。 当你调查过程中采取某些行动时，会告诉恶意代码编写者你已经识别了
	恶意代码，甚至可能会向攻击者泄露你的个人信息。
	
2.安全地调查在线攻击者 最安全的选择是完全不使用互联网去调查攻击，但这往往是不切实
际的。如果你使用互联网，则应该使用间接的方法，来逃避攻击者潜在的关注。

	<1>间接性策略。 提供匿名的服务或者机制。
	<2>获取IP地址和域名信息
	<3>基于内容的网络应对措施
		<3.1>使用snort进行入侵检测
		<3.2>深入观察
	<4>结合动态和静态分析技术
		<4.1>过度分析的危险。 如果恶意代码分析的目标是开发有效的网络特征，那么就不需
		要理解代码的每个模块。
		<4.2>在众目睽睽下隐藏。 免杀是攻击者操纵后门的主要目标之一，因为一旦恶意代码被
		检测出，攻击者不仅会失去对现有受害机器的访问，而且增加了未来被发现的风险。
		<4.3>理解周边代码。 网络行为有俩种类型:发送数据和接受数据，分析发送出去的数据通
		常比较容易，因为无论恶意代码何时运行，他都会产生便于分析的样本，
		<4.4>寻找网络操作代码
		<4.5>了解网络内容的来源
		<4.6>硬编码数据vs临时数据
		<4.7>确定和利用编码步骤
		<4.8>创建特征
		<4.9>分析解析例程
		<4.10>这奴棣多个元素 针对不同的元素，创建出不同的网络特征
	<5>了解攻击者的意图
		- 专注属于俩端之间的协议元素
		- 专注于已知的任何协议元素作为密钥的部分
		- 确定流量中不太明显的协议元素

Lab14-1

分析恶意代码文件Lab14-01.exe。这个程序对你的系统无害。