设为首页收藏本站
查看: 746|回复: 1

关于病毒逆向的简介

[复制链接]
  • TA的每日心情
    慵懒
    5 天前
  • 签到天数: 41 天

    [LV.5]常住居民I

    发表于 2019-5-16 20:04:48 | 显示全部楼层 |阅读模式

      病毒分析其实跟很多软件的白盒测试相同,需要在虚拟系统的环境下对病毒发挥作用时影响到的位置进行监测,并对病毒最后造成的效果进行评估。这中间就会用到虚拟机去模拟病毒运行的环境,用监测软件对虚拟机中受病毒影响的位置进行监控,针对有加壳的病毒(换句话说就是病毒的变种)使用脱壳软件进行脱壳,然后使用反编译软件对病毒的编码进行破解,下面就是一个标准的病毒分析流程。

      第一,在虚拟机中模拟它的运行,但有时必须是在真机上,因为某些病毒狡猾无比可以检测是否在虚拟环境下运行。此过程中我们要从以下几个方面进行检测获取相应信息:

      1.文件系统的变化,即与样本运行前相比,系统是否增减了某些文件,一些原有文件是否有被修改的痕迹,注册表的修改痕迹。

      2.进程变化,即样本运行后进程中是否出现某些可疑进程。

      3.网络链接监控,检查进出系统的数据包是否异常。

      4.API调用,其实就是样本与操作系统的交互,程序希望系统完成什么任务。

      以上可称之为主动检测,即主动获取系统变化。常用Process Explorer、Filemon、TracePlus/Win32、Wireshark等来完成。


      另外我还会通过例如Installwatch或者Installspy等工具对系统进行监控,称之为系统完整性检测,查看系统的变化。


    用Installwatch对系统进行有效监控

      第二,软件尤其是恶意软件,常常在生成时就使用一些加壳或加密程序,以避开安全保护设备,或反病毒软件的查杀追捕,为了更加全面地分析样本文件,需要将其从壳中提取出来。

      这个过程一般都会利用例如PEid等查壳工具检验壳的类型,然后或者利用专门的脱壳工具例如ASpack等进行操作,或者使用OllyDbg来查找程序真正的入口点,手动脱壳。脱壳后的程序一般是不可执行的,因为某些部分例如导入表被破坏了,这时我们就需要用一些专门软件或OD插件来修复此PE程序。然后我们在确认壳被成功脱去后,就该去检查它的一些嵌入文本,例如某些包括有效信息的字符串、文件信息等。


    用OllyDbg查找程序真正的入口点

      第三,对文件进行反汇编,常用功能强大的IDA Pro,比如木马类样本,我会通过监控它的API来查看函数命令,可以知道它主要偷偷地记录些什么内容,通过什么方式发送给木马操控者等。

      第四,通过以上的步骤我大概能明白样本的行为及目的,但为了更全面的理解有必要对PE文件本身进行一个深入的分析。此步骤中我们会对PE文件的一些资源进行检查,针对不同高级语言类型有不同的编辑工具,可以获得此样本在执行时可能会显示的一些资源文件,比如窗体、某些小控件、类似虚拟键盘、按钮等。从中可以发现更多有关恶意行为的线索。

      第五,根据之前的分析,我会获得一些程序运行所依赖的函数或命令,我还可以利用比如SpyStudio等工具进行函数剖析,具体查看程序的返回值,从中可以获得大量恶意行为的证据,例如某些木马文件通过调用某些网址呈现给用户一个假的页面来截获账户密码及其他隐私信息等。

      过程描述相对简单,但是其中包括环境搭建及调整,以及软件操作需要的相关知识还是需要专门学习才能更好地应用和掌握。整合所有分析发现的文件行为及编码,给此文件编写一个特征码并纳入病毒库,此病毒便可以被有效地查杀了。

      为掌握趋势扮黑客

      其实所有的行业都可以套用“不学习就会被淘汰”这句话。但是做病毒分析工作,可以算是这句话的极端表现。随着电子技术日新月异的发展,每秒钟世界上都会有大量新的病毒及其变种产生。所以只有不断去充电,了解当前病毒的发展趋势和黑客关注的方向,我才能在得到病毒后有一个大体的认知,从而有的放矢地“解剖”病毒。
  • TA的每日心情
    奋斗
    2019-5-29 17:13
  • 签到天数: 37 天

    [LV.5]常住居民I

    发表于 2019-5-17 16:14:29 | 显示全部楼层
    受益,,,收藏了  ,,,  大佬加个好友
    回复 支持 反对

    使用道具 举报

    您需要登录后才可以回帖 登录 | 注册

    本版积分规则

    关闭

    站长推荐 上一条 /1 下一条

    红盟社区--中国红客联盟 

    Processed in 0.097001 second(s), 13 queries.

    站点统计| 举报| Archiver| 手机版| 黑屋 |   

    Powered by HUC © 2001-2017 Comsenz Inc.

    手机扫我进入移动触屏客户端

    关注我们可获取更多热点资讯

    Honor accompaniments. theme macfee

    快速回复 返回顶部 返回列表