最近公司申请安服资质,让我帮忙写个对开源软件的审查方法,就随便编了以下,如有补充还请各位扶正
其实我觉得他们为啥不怀疑windows有问题呢......
非黑客攻击行为安全工具,此类工具通常为辅助测试工具,不具备直接攻击行为,且通常具有官方来源,例如:浏览器,抓包工具,编程语言安装包,部分扫描工具等。对于此类工具的处理有以下几种方式:
1.官方来源的文件验证文件的md5,与官方给出的md5进行对比。
2.文件上传到哈勃文件分析系统进行分析检测。
3.使用杀毒软件进行杀毒。
黑客攻击行为安全工具,此类工具通常为攻击测试工具,具备直接攻击行为,会被杀毒软件的以病毒来进行报告,部分软件无官方来源,而是来源于网络下载等。例如:密码爆破工具,sql注入工具,漏洞批量利用程序,端口扫描及信息收集工具等。此类工具通常由个人研发完成,无安全保证,极易在流传过程中被植入木马,后门等程序。在此类软件的使用之前应做到以下几步来进行分析:
1.在虚拟机中运行,不直接在真实机的系统中运行。
2.检查程序运行后有无异常流量行为,如果有检查程序请求的ip地址有无异常,是否存在远程下载、远程连接等请求。
3.检测软件进程运行后,有无对注册表的修改。
4.对软件脱壳后进行逆向分析,包括静态分析及动态调试。
5对本地进程进行监控,检查软件运行后有无可疑进程运行。
6.检查软件运行后有无异常文件释放。
7.检查文件dll中有无恶意代码。