一、概述
***分析是一项需要技术、技巧和耐心的工作。专业人员可能先会对***程序进行反编译,然后花大量时间分析令人目眩且晦涩难懂的汇编代码。然而对于我们来说 也许只是想了解一下偶尔遇到的可疑文件,看看是不是***,有些什么样的特点,以及控制着这些***的主机在什么地方。要达到这个目标有没有什么简便易行的方 法,不用去学太多的专业知识,就能够简单的分析***呢,答案是肯定的。下面就让我们开始打造自己的简单***分析实验室之旅吧。
二、前期准备
首先我们必须有一台性能较好的电脑。如果你的电脑连运行一个虚拟机都卡的话,那你就需要另找一台机器并将这两台机器联网了。以下在虚拟机上作的工作你就得在另一台主机上做了。我们需要的基本软件包括:
1、 Windows2000以上操作系统(你的主机操作系统和虚拟机里的操作系统);
2、 虚拟机软件:Vmare、Virtual PC等,任选其一。本文以Vmare 6.0为实验环境;
3、 注册表监视软件:Regmon、RegSnap等,本文选RegSnap,用以监视***对注册表的改动;
4、 文件系统监视软件:FileMon等,也可使用RegSnap所带的系统文件监视功能,用以监视***在文件系统中的活动;
5、 网络数据嗅探软件:sniffer pro、Ethereal等,本文选用Ethereal,用以截获***和控制端之间的数据通信。
另外如果你要分析的***是利用其他常用软件漏洞触发的,你还必须安装这些应用软件,如office,winrar等存在漏洞的应用软件的相应版本。
三、安装
在你的主机上安装Vmare软件,然后在其中安装操作系统(我安装的是Windows XP SP2),如果你分析的***是特别针对其他类型系统的,那你可能需要安装相应的操作系统,现在大部分***都是能在Windows XP下运行的。安装好虚拟机操作系统后,我们先不要急着连接到网络,而是先做一些设置和安装我们的分析工具,首先将虚拟机操作系统的自动更新关闭(这是为 了防止分析网络数据时升级数据包造成干扰),然后安装上RegSnap和Ethereal, 确保正确安装完成后给虚拟机做一个快照,该快照用于在实验做完后将虚拟机系统恢复成初始状态。
四、开始分析
运行虚拟机,将要分析的***程序拷贝到虚拟机中,待分析的***可能是可执行文件,也可能是doc,swf等存在漏洞的文件,对于后者我们需要在虚拟机系统 中安装上相应的存在漏洞的应用软件,如office,flash player等,这样才能保证漏洞顺利触发***成功运行。当然我们如果有能力的话可以将这些文件中的***手工分离出来,然后直接分析分离出来的***,这一 部分知识在这里就不敷述了。接下来我们打开RegSnap和Ethereal,先用RegSnap给系统做一个完整快照,包括注册表的全部和重要系统目 录。然后集中精神,开始进入监控工作的核心环节。在确保关闭了其它任何连接网络程序的前提下运行Ethereal的网络数据嗅探,紧接着双击运行***,木 马开始隐蔽的工作了,我们可以看到Ethereal已显示捕获到了一些网络数据,一般***在激活后会立即回连到控制端主机,这时我们就可以通过网络数据找 到***的回连域名和IP地址。现在我们可以停止Ethereal的嗅探,然后立即通过RegSnap再次对系统做一个全面快照,到此为止***监控工作就算 完成了,下面我们就要对刚才得到的信息进行仔细分析了。首先对使用RegSnap做的两次系统快照进行比较,看看在***运行前和***运行后系统文件和注册 表有哪些变化,如果系统目录下有新增的可执行文件,注册表中有新添加的启动项键值,那么那无疑就是***隐藏在系统中的程序体和自启动键值了。让我们再看看 网络数据,Ethereal显示了不少刚才截获的数据包,经过分析我们可以确定其中某些可疑的连接就是***和控制端之间的通信。其中控制端的IP地址(使 用代理则显示的是代理的IP地址)一目了然。到此,我们确定了该***软件的生成文件和注册表启动键值,找到了***回连的ip地址,通过ip地址我们可以大 致确定它的地理位置。简单的***分析也就结束了。
五、进一步扩展
以上只是针对常见的***进行分析的一般环境和步骤,***的种类繁多,特点各异。有的***采用UDP、ICMP等协议进行回连和数据传输,这需要我 们仔细分析所截获到的网络数据,在其中发现***可疑的通信数据。更有一些RootKit***将写入的注册表的键值、***文件和数据通信都隐藏起来,让我们 无法使用以上工具在本机上发现任何异常。遇到这种情况,我们可以在同一网段的其他机器上安装嗅探器来监听装有***的虚拟主机数据,用启动盘进入虚拟机系统 查找隐藏的***文件。这些都是我们根据具体情况要灵活采取的措施。也许有人会问我们分析***时不是我们的虚拟机系统被对方控制了么?我们的分析行为和IP 地址也不就暴露了么?如果你担心实验会向***者泄漏你的网络地址和意图,那你必须将实验环境网络与互联网断开,不过我们只要保证实验环境的局域网络是连通 的,就可以通过构造DNS服务器等方式来查看***企图解析的回连域名和查找的控制端IP地址,虽然这样对于***的网络数据的分析就不能更加全面的展开了, 但你的网络分析工作对于***控制者来说就根本察觉不到了。
欢迎大家继续探讨***分析方法
二、前期准备
首先我们必须有一台性能较好的电脑。如果你的电脑连运行一个虚拟机都卡的话,那你就需要另找一台机器并将这两台机器联网了。以下在虚拟机上作的工作你就得在另一台主机上做了。我们需要的基本软件包括:
1、 Windows2000以上操作系统(你的主机操作系统和虚拟机里的操作系统);
2、 虚拟机软件:Vmare、Virtual PC等,任选其一。本文以Vmare 6.0为实验环境;
3、 注册表监视软件:Regmon、RegSnap等,本文选RegSnap,用以监视***对注册表的改动;
4、 文件系统监视软件:FileMon等,也可使用RegSnap所带的系统文件监视功能,用以监视***在文件系统中的活动;
5、 网络数据嗅探软件:sniffer pro、Ethereal等,本文选用Ethereal,用以截获***和控制端之间的数据通信。
另外如果你要分析的***是利用其他常用软件漏洞触发的,你还必须安装这些应用软件,如office,winrar等存在漏洞的应用软件的相应版本。
三、安装
在你的主机上安装Vmare软件,然后在其中安装操作系统(我安装的是Windows XP SP2),如果你分析的***是特别针对其他类型系统的,那你可能需要安装相应的操作系统,现在大部分***都是能在Windows XP下运行的。安装好虚拟机操作系统后,我们先不要急着连接到网络,而是先做一些设置和安装我们的分析工具,首先将虚拟机操作系统的自动更新关闭(这是为 了防止分析网络数据时升级数据包造成干扰),然后安装上RegSnap和Ethereal, 确保正确安装完成后给虚拟机做一个快照,该快照用于在实验做完后将虚拟机系统恢复成初始状态。
四、开始分析
运行虚拟机,将要分析的***程序拷贝到虚拟机中,待分析的***可能是可执行文件,也可能是doc,swf等存在漏洞的文件,对于后者我们需要在虚拟机系统 中安装上相应的存在漏洞的应用软件,如office,flash player等,这样才能保证漏洞顺利触发***成功运行。当然我们如果有能力的话可以将这些文件中的***手工分离出来,然后直接分析分离出来的***,这一 部分知识在这里就不敷述了。接下来我们打开RegSnap和Ethereal,先用RegSnap给系统做一个完整快照,包括注册表的全部和重要系统目 录。然后集中精神,开始进入监控工作的核心环节。在确保关闭了其它任何连接网络程序的前提下运行Ethereal的网络数据嗅探,紧接着双击运行***,木 马开始隐蔽的工作了,我们可以看到Ethereal已显示捕获到了一些网络数据,一般***在激活后会立即回连到控制端主机,这时我们就可以通过网络数据找 到***的回连域名和IP地址。现在我们可以停止Ethereal的嗅探,然后立即通过RegSnap再次对系统做一个全面快照,到此为止***监控工作就算 完成了,下面我们就要对刚才得到的信息进行仔细分析了。首先对使用RegSnap做的两次系统快照进行比较,看看在***运行前和***运行后系统文件和注册 表有哪些变化,如果系统目录下有新增的可执行文件,注册表中有新添加的启动项键值,那么那无疑就是***隐藏在系统中的程序体和自启动键值了。让我们再看看 网络数据,Ethereal显示了不少刚才截获的数据包,经过分析我们可以确定其中某些可疑的连接就是***和控制端之间的通信。其中控制端的IP地址(使 用代理则显示的是代理的IP地址)一目了然。到此,我们确定了该***软件的生成文件和注册表启动键值,找到了***回连的ip地址,通过ip地址我们可以大 致确定它的地理位置。简单的***分析也就结束了。
五、进一步扩展
以上只是针对常见的***进行分析的一般环境和步骤,***的种类繁多,特点各异。有的***采用UDP、ICMP等协议进行回连和数据传输,这需要我 们仔细分析所截获到的网络数据,在其中发现***可疑的通信数据。更有一些RootKit***将写入的注册表的键值、***文件和数据通信都隐藏起来,让我们 无法使用以上工具在本机上发现任何异常。遇到这种情况,我们可以在同一网段的其他机器上安装嗅探器来监听装有***的虚拟主机数据,用启动盘进入虚拟机系统 查找隐藏的***文件。这些都是我们根据具体情况要灵活采取的措施。也许有人会问我们分析***时不是我们的虚拟机系统被对方控制了么?我们的分析行为和IP 地址也不就暴露了么?如果你担心实验会向***者泄漏你的网络地址和意图,那你必须将实验环境网络与互联网断开,不过我们只要保证实验环境的局域网络是连通 的,就可以通过构造DNS服务器等方式来查看***企图解析的回连域名和查找的控制端IP地址,虽然这样对于***的网络数据的分析就不能更加全面的展开了, 但你的网络分析工作对于***控制者来说就根本察觉不到了。
欢迎大家继续探讨***分析方法
转载于:https://blog.51cto.com/liwenhui/168549
扫一扫
5930
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
