恶意代码分析入门

一、恶意代码的定义
        恶意代码:也称恶意软件,在大多数计算机入侵事件中都扮演了重要角色。任何以某种方式来对用户、计算机或网络造成破坏的软件,都可以被认为是恶意代码,包括计算机病毒、木马、蠕虫、内核套件、勒索软件、间谍软件等。
        恶意代码分析是一种解剖恶意代码的艺术。
二、恶意代码分析目标
        恶意代码分析的目标:通常是为一起网络入侵事件的响应提供所需信息。因此,其目标往往是确定到底发生了什么,并确保你能够定位出所有受感染的主机和文件。在分析可疑的恶意代码时,你的目标通常是确定某一个特定的可疑二进制程序到底可以做什么,如何在网络上检测出它,以及如何衡量并消除它所带来的损害。
三、恶意代码分析技术
        恶意代码分析有两类基本的方法:静态分析和动态分析。静态分析是在没有运行恶意代码时对其进行分析的技术,而动态分析则需要运行恶意代码。
1、静态分析基础技术
        包括检查可执行文件但不查看具体指令的一些技术。用于确认一些文件是否是恶意的。提供有关其功能的信息。
2、动态分析基础技术
        该技术涉及运行恶意代码并观察系统上的行为,以移除感染,产生有效的检测特征码,或者两者(注意:应在虚拟机或沙箱中运行分析)。
3、静态分析高级技术
        该技术主要是对恶意代码内部机制的逆向工程,通过将可执行文件装载到反汇编器中,查看程序指令,来发现恶意代码到底做了什么。
4、动态分析高级技术
        使用调试器来检查一个恶意可执行程序运行时的内部状态、动态分析高级技术提供了从可执行文件中抽取详细信息的另一条路径。
四、恶意代码类型
        1、后门:恶意代码将自身安装到一台计算机来允许攻击者访问。后门程序通常让攻击者只需很少认证甚至无须认证,便可连接到远程计算机上,并可以在本地系统执行命令。
        2、僵尸网络:与后门类似,也允许攻击者访问系统。但所有被同一个僵尸网络感染的计算机将会从一台控制命令服务器收到相同的命令。
        3、下载器:这是一类只是用来下载其他恶意代码的恶意代码。下载器通常是在攻击者获得系统的访问时首先进行安装的。
        4、间谍软件:这是一类从受害者计算机上收集信息并发送给攻击者的恶意代码。如嗅探器、密码哈希采集器等。
        5、启动器:用来启动其他恶意程序的恶意代码。通常情况下,启动器使用一些非传统的技术,来启动其他恶意程序,以确保其隐蔽性,或者以更高权限访问系统。
        6、内核套件:设计用来隐蔽其他恶意代码的恶意代码。内核套件通常是与其他恶意代码组合成工具套装,来允许攻击者提供远程访问,并使代码很难被受害者发现。
        7、勒索软件:设计成吓唬受感染的用户,来勒索他们购买某些东西的恶意代码。这类软件通常有一个用户界面,使得它看起来像是一个杀毒软件或其他安全程序。它会通知用户系统中存在恶意代码,而唯一除掉它们的方法只有购买他们的“软件”。而事实上,他们所卖软件的全部功能只不过是将勒索软件进行移除而已。
        8、发送垃圾邮件的恶意代码:这类恶意代码在感染用户计算机之后,便会使用系统与网络资源来发送大量的垃圾邮件。这类恶意代码通过为攻击者出售垃圾邮件发送服务而获得收益。
        9、蠕虫或计算机病毒:可以自我复制和感染其他计算机的恶意代码。
五、恶意代码分析通用规则
        1、不要过于陷入细节。对于困难和复杂的代码段,应在进入到细节之前有一个概要性的了解。
        2、对于不同的工作任务,可以使用不同的工具和方法。尝试从不同角度来分析恶意代码,或只是尝试不同的方法。
        3、恶意代码分析是一个不断更新的技术,要理解和战胜新技术。快速地应对恶意代码分析技术的新变化。

展开阅读全文

没有更多推荐了,返回首页

©️2019 CSDN 皮肤主题: 游动-白 设计师: 上身试试
应支付0元
点击重新获取
扫码支付

支付成功即可阅读