3.4 惡意代碼的檢測分析

第4節(jié)惡意代碼的檢測分析第3章目

錄01惡意代碼的檢測02惡意代碼的分析01惡意代碼的檢測常見惡意代碼的檢測方法特征碼掃描應(yīng)用最廣泛的惡意代碼檢測技術(shù)工作機制：特征匹配病毒庫（惡意代碼特征庫）掃描（特征匹配過程）優(yōu)點準(zhǔn)確(誤報率低)易于管理缺點效率問題（特征庫不斷龐大、依賴廠商）滯后（先有病毒后有特征庫，需要持續(xù)更新）特征碼掃描工具源代碼特征碼掃描結(jié)果特征碼掃描基于Python的惡意代碼特征碼掃描工具工具特點根據(jù)常見病毒特征碼進(jìn)行檢測常見惡意代碼的檢測方法沙箱沙箱技術(shù)工作機制：在虛擬環(huán)境中觸發(fā)惡意代碼樣本置于沙箱中，觸發(fā)樣本表現(xiàn)出惡意行為對樣本進(jìn)行惡意性判定和行為特征的揭示本地程序可疑程序操作系統(tǒng)和本地資源可疑程序優(yōu)點能發(fā)現(xiàn)高級惡意代碼（如：加殼混淆惡意代碼）能捕獲惡意代碼運行行為缺點部署沙箱技術(shù)的方式存在固有缺陷常見惡意代碼的檢測方法某個木馬行為分析結(jié)果行為檢測工作機制：基于統(tǒng)計數(shù)據(jù)惡意代碼行為有哪些行為符合度優(yōu)點缺點能檢測到未知病毒易于管理誤報率高（因為惡意代碼行為及正常軟件行為識別存在一定難度）難點：病毒不可判定原則常見惡意代碼的檢測方法02惡意代碼的分析惡意代碼分析技術(shù)惡意代碼分析技術(shù)-靜態(tài)分析概念程序靜態(tài)分析（ProgramStaticAnalysis）是指在不運行代碼的方式下，通過詞法分析、語法分析、控制流、數(shù)據(jù)流分析等技術(shù)對程序代碼進(jìn)行分析，驗證代碼是否滿足規(guī)范性、安全性、可靠性、可維護(hù)性等指標(biāo)的一種代碼分析技術(shù)。優(yōu)點不需要運行惡意代碼，不會影響運行環(huán)境的安全?？梢苑治鰫阂獯a的所有執(zhí)行路徑。隨著復(fù)雜度的提高，執(zhí)行路徑數(shù)量龐大，冗余路徑增多，分析效率較低。缺點惡意代碼分析技術(shù)-動態(tài)分析概念動態(tài)分析技術(shù)是指在虛擬運行環(huán)境里，運行程序代碼并使用監(jiān)控及測試軟件分析的技術(shù)。若運行的程序代碼為惡意代碼，最終可檢測出惡意代碼行為。優(yōu)點缺點針對性強具有較高的準(zhǔn)確性由于分析過程中覆蓋的執(zhí)行路徑有限，分析的完整性難以保證。惡意代碼分析技術(shù)靜態(tài)分析技術(shù)文件名分析文件長度特征文件位置特征文件時間特征文件版本特征數(shù)字簽名程序形態(tài)特征常規(guī)分析格式分析PE信息API查看字符串信息資源信息靜態(tài)分析技術(shù)代碼分析樣本文件格式：PE文件（.exe、.dll）、腳本文件等。PE信息分析(是否加殼、加殼類型等)API調(diào)用附加數(shù)據(jù)分析（字符串、資源）常用靜態(tài)分析工具：IDAPro（交互式反匯編器專業(yè)版）動態(tài)分析技術(shù)動態(tài)分析的常見方法-程序功能分析在進(jìn)行程序代碼動態(tài)分析時，需要根據(jù)程序的功能來判斷程序運行流程，并且需要在其中找出問題代碼的關(guān)鍵點，找到關(guān)鍵點后，即可進(jìn)行下一步的調(diào)試。程序代碼動態(tài)分析關(guān)鍵判斷點是否進(jìn)行API的調(diào)用是否進(jìn)行文件的讀寫：包括新增內(nèi)容、刪除內(nèi)容、改動內(nèi)容是否進(jìn)行注冊表的讀寫：新增注冊表、刪除注冊表、改動注冊表是否進(jìn)行內(nèi)核的調(diào)用動態(tài)分析技術(shù)動態(tài)分析的常見方法-代碼行為分析通過分析程序的功能找到關(guān)鍵點后，還需要分析代碼的攻擊行為，根據(jù)攻擊行為可以進(jìn)一步判斷是否為包含惡意帶代碼的攻擊程序。常見惡意代碼行為本地行為網(wǎng)絡(luò)行為傳播方式運行位置感染方式其他結(jié)果為惡意代碼查殺防御提供支撐！動態(tài)分析技術(shù)OllyDbg調(diào)試工具文件列表在動態(tài)分析技術(shù)中最重要的工具是調(diào)試器，分為如下兩種用戶模式例如：OllyDbg、x64dbg等。內(nèi)核模式例如：WinDbg。惡意代碼分析工具經(jīng)過UPX加殼的程序程序查殼工具-PEiD工具簡介PEiD可以用來檢測加殼器的類型或用來鏈接應(yīng)用程序的編譯器類型。使用方法直接載入惡意代碼文件即可。結(jié)果分析類似工具若掃描成功，會在文本框給出所加殼的信息。當(dāng)文本框不顯示時，可以看EP節(jié)點名字，可能就是所加殼的類型。ExeinfoPE惡意代碼分析工具注：通過IDAPro完整地分析惡意代碼程序，需要具備大量計算機基礎(chǔ)知識（匯編語言、C語言等），難度很大。IDAPro工具工作界面靜態(tài)分析工具-IDAPro工具簡介IDAPro是一款靜態(tài)反編譯軟件，主要通過反編譯、調(diào)試對程序代碼進(jìn)行分析或進(jìn)行漏洞研究。使用方法安裝工具后載入需要分析的程序即可。IDA反匯編流程確定需要進(jìn)行反匯編的代碼區(qū)域逐條讀取指令，查表，輸出匯編語言描述符確定各個函數(shù)的起始和結(jié)束位置類似工具GhidraOllyDbg工具工作界面注：通過OllyDbg完整地調(diào)試惡意代碼程序，需要具備大量計算機基礎(chǔ)知識，難度較大。惡意代碼分析工具動態(tài)分析工具-OllyDbgOllyDbg是當(dāng)前主流的動態(tài)跟蹤調(diào)試工具，通過OllyDbg可以動態(tài)分析程序的運行過程及動態(tài)。OllyDbg常被用來破解軟件。免安裝版直接打開工具載入調(diào)試程序即可。嘗試正常運行程序判斷程序關(guān)鍵功能點判斷是否加殼進(jìn)行程序運行流程調(diào)試X64Dbg、WinDbg、SoftICE工具簡介使用方法類似工具OllyDbg動態(tài)調(diào)試流程惡意代碼分析工具Web惡意代碼分析-Wireshark工具簡介Wireshark是一款網(wǎng)絡(luò)數(shù)據(jù)包分析工具。通過Wireshark可以分析網(wǎng)絡(luò)層的數(shù)據(jù)包詳細(xì)內(nèi)容，也可以分析應(yīng)用層的數(shù)據(jù)包（如：網(wǎng)站瀏覽數(shù)據(jù)）。使用方法選擇指定網(wǎng)絡(luò)接口開啟數(shù)據(jù)監(jiān)聽并分析。Wireshark流程捕獲數(shù)據(jù)包篩選分析條件分析數(shù)據(jù)包類似工具TcpDump（Linux平臺）持久性后門分析粘滯鍵后門腳本粘滯鍵后門啟動效果注：有關(guān)于后門分析的詳細(xì)操作步驟，請參閱第三章/持久性后門安全分析.mp4Windows常見后門-粘滯鍵后門后門簡介粘滯鍵指的是電腦使用中的一種快捷鍵，主要功能是方便Shift等鍵的組合使用。攻擊者利用粘滯鍵調(diào)用的特性，將cmd.exe植入到系統(tǒng)，形成持久性后門。植入方式攻擊者通常會在入侵系統(tǒng)后，通過遠(yuǎn)程執(zhí)行命令或腳本植入后門，也會通過其他方式（如：釣魚郵件、釣魚網(wǎng)站等）誘導(dǎo)用戶植入。STEP1網(wǎng)站木馬動態(tài)分析注：有關(guān)于網(wǎng)站木馬分析的詳細(xì)操作步驟，請參閱第三章/利用流量分析工具分析網(wǎng)站木馬攻擊行為.mp4一句話木馬分析打開需要分析的數(shù)據(jù)包STEP2分析木馬連接地址STEP3分析木馬入口密碼STE