JavaShuo
欄目
標籤
搭建病毒***分析實驗室
時間 2020-10-02
標籤
搭建
病毒
分析
實驗室
欄目
系統安全
简体版
原文
原文鏈接
1、概述
***分析是一項須要技術、技巧和耐心的工做。專業人員可能先會對***程序進行反編譯,而後花大量時間分析使人目眩且晦澀難懂的彙編代碼。然而對於咱們來講 也許只是想了解一下偶爾遇到的可疑文件,看看是否是***,有些什麼樣的特色,以及控制着這些***的主機在什麼地方。要達到這個目標有沒有什麼簡便易行的方 法,不用去學太多的專業知識,就可以簡單的分析***呢,答案是確定的。下面就讓咱們開始打造本身的簡單***分析實驗室之旅吧。 2、前期準備 首先咱們必須有一臺性能較好的電腦。若是你的電腦連運行一個虛擬機都卡的話,那你就須要另找一臺機器並將這兩臺機器聯網了。如下在虛擬機上做的工做你就得在另外一臺主機上作了。咱們須要的基本軟件包括: 一、 Windows2000以上操做系統(你的主機操做系統和虛擬機裏的操做系統); 二、 虛擬機軟件:Vmare、Virtual PC等,任選其一。本文以Vmare 6.0爲實驗環境; 三、 註冊表監視軟件:Regmon、RegSnap等,本文選RegSnap,用以監視***對註冊表的改動; 四、 文件系統監視軟件:FileMon等,也可以使用RegSnap所帶的系統文件監視功能,用以監視***在文件系統中的活動; 五、 網絡數據嗅探軟件:sniffer pro、Ethereal等,本文選用Ethereal,用以截獲***和控制端之間的數據通訊。 另外若是你要分析的***是利用其餘經常使用軟件漏洞觸發的,你還必須安裝這些應用軟件,如office,winrar等存在漏洞的應用軟件的相應版本。 3、安裝 在你的主機上安裝Vmare軟件,而後在其中安裝操做系統(我安裝的是Windows XP SP2),若是你分析的***是特別針對其餘類型系統的,那你可能須要安裝相應的操做系統,如今大部分***都是能在Windows XP下運行的。安裝好虛擬機操做系統後,咱們先不要急着鏈接到網絡,而是先作一些設置和安裝咱們的分析工具,首先將虛擬機操做系統的自動更新關閉(這是爲 了防止分析網絡數據時升級數據包形成干擾),而後安裝上RegSnap和Ethereal, 確保正確安裝完成後給虛擬機作一個快照,該快照用於在實驗作完後將虛擬機系統恢復成初始狀態。 4、開始分析 運行虛擬機,將要分析的***程序拷貝到虛擬機中,待分析的***多是可執行文件,也多是doc,swf等存在漏洞的文件,對於後者咱們須要在虛擬機系統 中安裝上相應的存在漏洞的應用軟件,如office,flash player等,這樣才能保證漏洞順利觸發***成功運行。固然咱們若是有能力的話能夠將這些文件中的***手工分離出來,而後直接分析分離出來的***,這一 部分知識在這裏就不敷述了。接下來咱們打開RegSnap和Ethereal,先用RegSnap給系統作一個完整快照,包括註冊表的所有和重要系統目 錄。而後集中精神,開始進入監控工做的核心環節。在確保關閉了其它任何鏈接網絡程序的前提下運行Ethereal的網絡數據嗅探,緊接着雙擊運行***,木 馬開始隱蔽的工做了,咱們能夠看到Ethereal已顯示捕獲到了一些網絡數據,通常***在激活後會當即回連到控制端主機,這時咱們就能夠經過網絡數據找 到***的回連域名和IP地址。如今咱們能夠中止Ethereal的嗅探,而後當即經過RegSnap再次對系統作一個全面快照,到此爲止***監控工做就算 完成了,下面咱們就要對剛纔獲得的信息進行仔細分析了。首先對使用RegSnap作的兩次系統快照進行比較,看看在***運行前和***運行後系統文件和註冊 表有哪些變化,若是系統目錄下有新增的可執行文件,註冊表中有新添加的啓動項鍵值,那麼那無疑就是***隱藏在系統中的程序體和自啓動鍵值了。讓咱們再看看 網絡數據,Ethereal顯示了很多剛纔截獲的數據包,通過分析咱們能夠肯定其中某些可疑的鏈接就是***和控制端之間的通訊。其中控制端的IP地址(使 用代理則顯示的是代理的IP地址)一目瞭然。到此,咱們肯定了該***軟件的生成文件和註冊表啓動鍵值,找到了***回連的ip地址,經過ip地址咱們能夠大 致肯定它的地理位置。簡單的***分析也就結束了。 5、進一步擴展 以上只是針對常見的***進行分析的通常環境和步驟,***的種類繁多,特色各異。有的***採用UDP、ICMP等協議進行回連和數據傳輸,這須要我 們仔細分析所截獲到的網絡數據,在其中發現***可疑的通訊數據。更有一些RootKit***將寫入的註冊表的鍵值、***文件和數據通訊都隱藏起來,讓咱們 沒法使用以上工具在本機上發現任何異常。遇到這種狀況,咱們能夠在同一網段的其餘機器上安裝嗅探器來監聽裝有***的虛擬主機數據,用啓動盤進入虛擬機系統 查找隱藏的***文件。這些都是咱們根據具體狀況要靈活採起的措施。也許有人會問咱們分析***時不是咱們的虛擬機系統被對方控制了麼?咱們的分析行爲和IP 地址也不就暴露了麼?若是你擔憂實驗會向***者泄漏你的網絡地址和意圖,那你必須將實驗環境網絡與互聯網斷開,不過咱們只要保證明驗環境的局域網絡是連通 的,就能夠經過構造DNS服務器等方式來查看***企圖解析的回連域名和查找的控制端IP地址,雖然這樣對於***的網絡數據的分析就不能更加全面的展開了, 但你的網絡分析工做對於***控制者來講就根本察覺不到了。 歡迎你們繼續探討***分析方法
相關文章
1.
病毒分析
2.
wannaren病毒實驗
3.
宏病毒實驗
4.
病毒分析四:steam盜號病毒
5.
[病毒分析]Office2003宏病毒
6.
614D9828AD3C1E5E0F7C4C4DC70358F0 病毒分析
7.
宏病毒分析
8.
ARP病毒分析
9.
4865fa85d9ee28bfab97d073a3dde8a3 病毒分析
10.
sample.exe 病毒分析
更多相關文章...
•
Swift 環境搭建
-
Swift 教程
•
Rust 環境搭建
-
RUST 教程
•
適用於PHP初學者的學習線路和建議
•
Git五分鐘教程
相關標籤/搜索
實驗室
AR實驗室
VMC實驗室
病毒
Android病毒分析報告
搭建
貝爾實驗室
病毒感染
消滅病毒
木馬病毒
系統安全
紅包項目實戰
網站建設指南
Spring教程
建議
0
分享到微博
分享到微信
分享到QQ
每日一句
每一个你不满意的现在,都有一个你没有努力的曾经。
最新文章
1.
resiprocate 之repro使用
2.
Ubuntu配置Github並且新建倉庫push代碼,從已有倉庫clone代碼,並且push
3.
設計模式9——模板方法模式
4.
avue crud form組件的快速配置使用方法詳細講解
5.
python基礎B
6.
從零開始···將工程上傳到github
7.
Eclipse插件篇
8.
Oracle網絡服務 獨立監聽的配置
9.
php7 fmp模式
10.
第5章 Linux文件及目錄管理命令基礎
本站公眾號
歡迎關注本站公眾號,獲取更多信息
相關文章
1.
病毒分析
2.
wannaren病毒實驗
3.
宏病毒實驗
4.
病毒分析四:steam盜號病毒
5.
[病毒分析]Office2003宏病毒
6.
614D9828AD3C1E5E0F7C4C4DC70358F0 病毒分析
7.
宏病毒分析
8.
ARP病毒分析
9.
4865fa85d9ee28bfab97d073a3dde8a3 病毒分析
10.
sample.exe 病毒分析
>>更多相關文章<<