掌握恶意软件分析的4个阶段

最新推荐文章于 2023-03-09 17:43:01 发布
最新推荐文章于 2023-03-09 17:43:01 发布
阅读量590 收藏 4
点赞数 1
分类专栏: malware 文章标签: malware分析 自动分析 手动分析 逆向
原文链接:https://zeltser.com/mastering-4-stages-of-malware-analysis/
版权

目录

0x01 第一个阶段-全自动分析

0x02 第二个阶段-静态属性分析

0x03 第三个阶段-互动行为分析

0x04 第四个阶段-手动代码逆向

0x05 结合恶意软件分析阶段

 

 

检查恶意软件涉及各种任务,不同的任务复杂程度不同。我们可以基于相关恶意软件分析技术划分为不同的阶段。这些阶段依次递进,形成一个复杂地向上增长的金字塔。越接近顶端,所付出的努力越多,技能也相应地越不常见。

0x01 第一个阶段-全自动分析

评估可疑文件的最简单方法是使用全自动工具对其进行扫描,其中一些工具可用作商业产品,一些用作免费工具。这些实用程序旨在对样本在系统上运行时可能会执行的操作进行快速评估。它们通常会生成包含恶意程序使用的注册表项、其互斥锁值、文件活动、网络流量等详细信息的报告。

完全自动化的工具通常不能提供人类分析师在以更手动的方式检查样本时获得的洞察力。但是,它们通过快速处理大量恶意软件为事件响应过程做出贡献,使分析师(时间相对昂贵)能够专注于真正需要人们关注的案例。

有关可执行自动分析的免费服务和工具的列表,请参阅我的自动化恶意软件分析自动恶意软件分析服务工具包列表。

0x02 第二个阶段-静态属性分析

有兴趣仔细研究可疑文件的分析师可以通过检查其静态属性来继续。这些细节可以相对快速地获得,因为它们不涉及运行潜在的恶意程序。静态属性包括嵌入到文件中的字符串、标题详细信息、哈希、嵌入式资源、打包程序签名、元​​数据(如创建日期等)。

查看静态属性有时足以定义折衷的基本指标。此过程还有助于确定分析师是否应该使用更全面的技术仔细查看样本,以及在何处集中后续步骤。分析静态属性是事件分类工作的一部分。

VirusTotal是一个优秀的在线工具的示例,其输出包括文件的静态属性。要查看一些可以在实验室中本地运行的免费实用程序,请参阅我的帖子分析Windows上的可疑文件的静态属性检查恶意软件分析的XOR混淆

0x03 第三个阶段-互动行为分析

在使用自动化工具并检查文件的静态属性之后,以及考虑到调查的整体背景,分析师可能会决定仔细查看样本。这通常需要用恶意程序感染隔离的实验室系统以观察其行为。

行为分析涉及检查样本在实验室中的运行方式,以了解其注册表,文件系统,流程和网络活动。了解程序如何使用内存(例如,执行内存取证)可以带来更多的见解。当研究人员与恶意程序交互时,这种恶意软件分析阶段尤其富有成效,而不是被动地观察样本。

分析人员可能会观察到样本试图连接到特定的宿主,而孤立的实验室无法访问该宿主。研究人员可以模拟实验室中的系统,并重复实验,看看恶意程序能够连接后会做什么。例如,如果样本使用主机作为命令和控制(C2)服务器,分析师可以通过模拟攻击者的C2活动来了解样本。这种模拟实验室以引起其他行为特征的方法适用于文件,注册表键和样本可能具有的其他依赖性。

能够在适当的协调实验室中对样本进行这种级别的控制,这使得该阶段与完全自动化的分析任务区别开来。以创造性方式与恶意软件交互比运行全自动化工具更耗时且复杂。它通常需要比在金字塔中执行早期任务更多的技能。

有关交互式行为分析的其他见解,请参阅我发布的恶意软件分析实验室的虚拟化网络隔离,我记录的网络广播恶意软件行为分析简介Jake Williams关于恶意软件分析和逆向工程的提示

0x04 第四个阶段-手动代码逆向

在完成交互式行为分析后,对包含样本的代码进行逆向工程可以为可用的结果添加有价值的见解。在不检查代码的情况下,标本的某些特征对于锻炼和检查来说是不切实际的。只有手动代码逆转才能提供的见解包括:

  • 解码由样本存储或传输的加密数据;
  • 确定恶意程序的域生成算法的逻辑;
  • 了解在行为分析期间未展示自身的样本的其他功能。

手动代码逆向涉及使用反汇编程序和调试程序,这可以通过反编译器和各种插件以及自动执行这些工作的某些方面的专用工具来辅助。记忆取证也可以在金字塔的这个阶段提供帮助。

逆向代码可能需要花费大量时间,并且需要相对较少的技能组合。出于这个原因,许多恶意软件调查都没有深入研究代码。但是,知道如何执行至少一些代码逆向步骤会大大增加分析师对comp中恶意程序性质的看法

要了解其他恶意软件分析阶段的代码级逆向工程的基本方面,请调入我录制的网络广播恶意软件分析简介。有关手动代码翻转的详细信息,请阅读Dennis Yurichev的电子书Reverse Engineering for Beginners

0x05 结合恶意软件分析阶段

检查恶意软件的过程涉及几个阶段,可以按照复杂性增加的顺序列出并表示为金字塔。但是,将这些阶段视为离散和顺序步骤过度简化了恶意软件分析过程的步骤。在大多数情况下,不同类型的分析任务交织在一起,在一个阶段收集的见解告知在另一个阶段进行的工作。也许这些阶段可以通过“ 洗涤,漂洗,重复 ”循环来表示,只有在分析师用完时才会中断。

如果您对此主题感兴趣,请查看我在SANS Institute教授的恶意软件分析课程。这篇文章中提到的金字塔是基于Alissa Torres(@sibertor)的类似图表。此外,Andres Velzquez(@cibercrimen将这篇文章翻译成西班牙文

2015年2月19日更新

进一寸有一寸的欢喜077
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
恶意软件分析实战02-分析3个恶意程序
輚至消亡
07-15 1277
1. Lab03-01 vt上一搜发现鉴别为恶意软件。 拖到PEID内一查,加了一个壳PEncrypt 3.1 Final -> jnukcode。 我好气,脱了我一个多小时没脱下来。想想算了,题目要求也就是分析它的行为。 打开Promon检测一下。发现了大量注册表和文件操作: 对比下注册表的变化, 发现了该软件有添加自启动行为 查询一下内部的字符串, 果然如此: 其内部还发现了一个网站。推测这个名为vmx32to64.exe的程序可能从该网站下载下来或者是自身改...
恶意软件检测中的行为分析
ptsecurity的博客
06-21 2565
恶意软件检测中的行为分析
说说恶意软件吧~~Malware 分析
小雨的博客
01-29 935
恶意软件恶意软件分析
恶意程序分类
Starr
06-24 3055
文章目录后门或陷门逻辑炸弹特洛伊木马Zombie(肉机)病 毒分类蠕 虫防病毒软件 graph TD a[malicious programs]-->b[needs host program] a-->c[independent] b-->d[trapdoors] b-->e[logicbombs] b-->f[Tr...
如何利用沙箱进行恶意软件分析
瓦罗兰特顶级C位的博客
03-09 805
恶意软件分析是研究恶意样本的过程。在研究过程中,研究人员的目标是了解恶意程序的类型、功能、代码和潜在危险。接收组织需要响应入侵的信息。
恶意软件分析师:面临社交网络威胁的用户已10亿
weixin_34281537的博客
10-08 58
一位国际病毒分析师曾提到,随着消费者与社交网络的联系日益密切,手机和其它智能设备为生活带来诸多便利,而同时,越来越严重的网络威胁也正在逐渐形成。 卡巴斯基实验室全球研究中心和分析组, EEMEA 研究中心的恶意软件分析师Stefan Tanase在科威特ICT安全论坛上向与会听众提到,在2009年,社交网络用户将占到整个互联网用户数量的80%左右,也就是超过10亿的人会登录社交网站。 Tanas...
0x01-引导记录分析1
08-08
通过反汇编命令,我们可以理解代码的功能,这对于识别潜在的病毒或恶意软件至关重要。 例如,给出的0ADD:7C00到0ADD:7C90的部分代码,展示了初始化CPU寄存器、加载数据到内存、执行系统调用等操作。这些操作都是...
0x05-GRAVE病毒分析1
08-08
在计算机安全领域,对病毒的分析是一项至关重要的任务,因为它有助于我们理解和防御这类恶意软件。本文将深入探讨名为“GRAVE”的病毒,主要关注其数据结构、源程序分析以及如何使用debug工具进行逆向工程。 首先,...
五道软件安全技术课后题以及示例
最新发布
05-27
在"软件安全技术课后题.pdf"这个文档中,你可以期待找到这些问题的详细解答,以及可能的示例代码或案例分析,帮助加深对软件安全实际应用的理解。通过解决这些问题,开发者可以更好地掌握如何在日常工作中预防和应对...
恶意软件检测
weixin_30855099的博客
09-09 960
https://habo.qq.com/腾讯哈勃分析系统 https://www.virustotal.comvirustotal 转载于:https://www.cnblogs.com/AtesetEnginner/p/11494601.html
浅谈恶意软件分析工程师的职业发展路线
摔不死的笨鸟的博客
12-25 2609
这里以Windows病毒分析师为例,讲解病毒分析师的职业发展路线和应该具有的专业能力。图中有的模块被分为红色和黄色,其中红色代表最重要,黄色代表相对重要。 病毒分析工程师,是在未来无法被人工智能取代、缺口非常大的高端网络安全人才,在未来将会成为很多大型公司必须的基础安全人才。和渗透测试人员、漏洞分析人员相比,病毒分析工程师更偏向对于Windows本地可执行文件的逆向分析。 1.病毒分析工程师可以做哪些方面的工作? 答:病毒分析工程师可以学习更深入的反调试、反虚拟、内存保护对抗等转型为 Windows专业逆.
如何成功进行恶意软件分析工作?
w3cschools的博客
03-22 200
随着越来越多的系统依赖互联网,恶意软件的扩散越来越具有破坏性。曾几何时,计算机病毒可能会带来极大的不便,但其影响范围可能仅限于少数连接到Internet的系统。 如今,每个家庭,工厂和机构都在线,从理论上讲,恶意软件有可能关闭整个地区联网。这就是进行恶意软件分析的地方。 恶意软件分析是隔离和逆向工程恶意软件的过程。恶意软件分析师利用从编程到数字取证的各种技能来识别和理解不同类型的恶意软件。他们可以从那里设计安全解决方案,以在将来保护计算机免受类似类型的恶意软件的侵害。 您可以想象,成为恶意软件分析
恶意软件分析
thinker
10-15 1527
阅览目录 0 初衷 Awesome Hacking系列-恶意代码分析 1 恶意软件分析 1.1 梳理恶意软件分析的工具集合 1.2 相关资源 2 参考 回到顶部 0 初衷 GitHub这一份黑客技能列表很不错,包含了多个方向的安全。但目前我关注只有逆向工程与恶意代码,所以其他的被暂时略过。 虽然很感谢作者的辛勤付出,但并不打算复制粘贴全套转载。逐条整理是为了从大量资源里梳理出自己觉得实用性很高的东西。 《Awesome-Hacking》https://github.com/
基于AI的恶意软件分析技术(3)
山楂的博客
05-05 7072
2020年一篇综述:基于AI的恶意软件检测和分类研究的发展、趋势和挑战
【网络安全】目前看到最全的恶意软件分析大合集
roshy的专栏
10-12 6212
目前看到最全的恶意软件分析大合集   在全球中国是受恶意软件影响比较大的国家之一。根据相关报告显示,亚太地区是受到僵尸网络影响最大的地区,同时受到勒索、欺诈等恶意软件的影响也特别靠前;根据2016年360互联网安全中心监测的报告显示,在2016年用户手动放行恶意软件500余万次,涉及恶意软件样本3万余个,平均每个此类恶意软件样本可以成功攻击160余台普通个人电脑。   虽然由于免费安全软...
每日一书丨Rootkit和Bootkit:现代恶意软件逆向分析和下一代威胁
Piotr_ce的博客
03-03 2366
网络犯罪集团和恶意行为者将继续编写更加持久和隐蔽的攻击程序,攻防之战远没有结束! 微软Windows操作系统的防御能力演进,使得Rootkit和Bootkit设计的几个主要分支陷入了死胡同。 以BIOS和芯片组固件为攻击目标的新型恶意软件出现,这已经超出了当前Windows安全防护软件的能力范围。 越来越多的安全工程师对高级可持续恶意软件威胁如何绕过操作系统级别的安全机制感兴趣。那么,如何发现并逆向、有效分析这些高级威胁? 这里我们介绍一本新书《Rootkit和Bootkit:现代恶意软件逆向分.
恶意代码学习笔记-1
Veni Vidi Vici
04-07 1405
恶意代码 定义(狭义):是一段附着在其他程序上的,可以自我繁殖的程序代码,复制后生成的新病毒同样具有感染其他程序的功能。司法上:编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。 特征:1、是程序,具有可执行性;2、可以自我复制。 发展趋势:传播网络化、种类多样化、综合利用多种新技术、破坏性更强、巧妙利用心理学及社会工程学、智能化、全...
网络安全--安全攻防概述
热门推荐
weixin_43774199的博客
08-18 1万+
目录 一、安全攻防简介 1.1安全攻防介绍 1.2网络安全概述 1.3网络攻击: 1.4安全防御 二、信息安全发展历程 2.1信息安全发展简介 2.2信息安全发展历程 三、信息安全职业发展方向 3.1信息安全职业前景 3.2信息安全职业发展方向 课程目标:这节课我们来介绍安全攻防以及信息安全的职业发展历程,去了解什么是安全攻防以及安全攻防的基本概念,攻击和防御的由来。 任务目标:通过对这节课的学习,能够对安全攻防有进一步的了解和认识,掌握安全攻防基本概念,了解信息安全的发展历程和职
恶意代码分析方法(一)
shannow_123的博客
02-27 2534
1.哈希值 工具:MD5deeep 用于判定开发者的程序是否被修改 2.查找字符串 帮助了解程序功能属性 3.动态链接函数 工具:DependencyWallker 根据调用的DLL模块中的函数推测功能 常见三大dll模块 user32.dll 是Windows用户界面相关应用程序接口,用于包括Windows处理,基本用户界面等特性,如创建窗口和发送消息 包含图形界面操作,可能为图形化界面 gdi...
分析下现阶段国产操作系统特点
03-20
1. 安全性高:国产操作系统在安全性方面做得比较好,可以有效地防范病毒、木马等恶意软件的攻击。 2. 自主可控:国产操作系统具有自主可控的特点,可以自主研发和掌握核心技术,减少对外部技术的依赖。 3. 适应性...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值