搭建病毒***分析實驗室

1、概述

***分析是一項須要技術、技巧和耐心的工做。專業人員可能先會對***程序進行反編譯，而後花大量時間分析使人目眩且晦澀難懂的彙編代碼。然而對於咱們來講 也許只是想了解一下偶爾遇到的可疑文件，看看是否是***，有些什麼樣的特色，以及控制着這些***的主機在什麼地方。要達到這個目標有沒有什麼簡便易行的方 法，不用去學太多的專業知識，就可以簡單的分析***呢，答案是確定的。下面就讓咱們開始打造本身的簡單***分析實驗室之旅吧。 2、前期準備 首先咱們必須有一臺性能較好的電腦。若是你的電腦連運行一個虛擬機都卡的話，那你就須要另找一臺機器並將這兩臺機器聯網了。如下在虛擬機上做的工做你就得在另外一臺主機上作了。咱們須要的基本軟件包括： 一、        Windows2000以上操做系統（你的主機操做系統和虛擬機裏的操做系統）； 二、        虛擬機軟件：Vmare、Virtual PC等，任選其一。本文以Vmare 6.0爲實驗環境； 三、        註冊表監視軟件：Regmon、RegSnap等，本文選RegSnap，用以監視***對註冊表的改動; 四、        文件系統監視軟件：FileMon等，也可以使用RegSnap所帶的系統文件監視功能，用以監視***在文件系統中的活動； 五、        網絡數據嗅探軟件：sniffer pro、Ethereal等，本文選用Ethereal，用以截獲***和控制端之間的數據通訊。 另外若是你要分析的***是利用其餘經常使用軟件漏洞觸發的，你還必須安裝這些應用軟件，如office,winrar等存在漏洞的應用軟件的相應版本。 3、安裝 在你的主機上安裝Vmare軟件，而後在其中安裝操做系統(我安裝的是Windows XP SP2)，若是你分析的***是特別針對其餘類型系統的，那你可能須要安裝相應的操做系統，如今大部分***都是能在Windows XP下運行的。安裝好虛擬機操做系統後，咱們先不要急着鏈接到網絡，而是先作一些設置和安裝咱們的分析工具，首先將虛擬機操做系統的自動更新關閉（這是爲 了防止分析網絡數據時升級數據包形成干擾），而後安裝上RegSnap和Ethereal, 確保正確安裝完成後給虛擬機作一個快照，該快照用於在實驗作完後將虛擬機系統恢復成初始狀態。 4、開始分析 運行虛擬機，將要分析的***程序拷貝到虛擬機中，待分析的***多是可執行文件，也多是doc,swf等存在漏洞的文件，對於後者咱們須要在虛擬機系統 中安裝上相應的存在漏洞的應用軟件，如office,flash player等，這樣才能保證漏洞順利觸發***成功運行。固然咱們若是有能力的話能夠將這些文件中的***手工分離出來，而後直接分析分離出來的***，這一 部分知識在這裏就不敷述了。接下來咱們打開RegSnap和Ethereal，先用RegSnap給系統作一個完整快照，包括註冊表的所有和重要系統目 錄。而後集中精神，開始進入監控工做的核心環節。在確保關閉了其它任何鏈接網絡程序的前提下運行Ethereal的網絡數據嗅探，緊接着雙擊運行***，木 馬開始隱蔽的工做了，咱們能夠看到Ethereal已顯示捕獲到了一些網絡數據，通常***在激活後會當即回連到控制端主機，這時咱們就能夠經過網絡數據找 到***的回連域名和IP地址。如今咱們能夠中止Ethereal的嗅探，而後當即經過RegSnap再次對系統作一個全面快照，到此爲止***監控工做就算 完成了，下面咱們就要對剛纔獲得的信息進行仔細分析了。首先對使用RegSnap作的兩次系統快照進行比較，看看在***運行前和***運行後系統文件和註冊 表有哪些變化，若是系統目錄下有新增的可執行文件，註冊表中有新添加的啓動項鍵值，那麼那無疑就是***隱藏在系統中的程序體和自啓動鍵值了。讓咱們再看看 網絡數據，Ethereal顯示了很多剛纔截獲的數據包，通過分析咱們能夠肯定其中某些可疑的鏈接就是***和控制端之間的通訊。其中控制端的IP地址（使 用代理則顯示的是代理的IP地址）一目瞭然。到此，咱們肯定了該***軟件的生成文件和註冊表啓動鍵值，找到了***回連的ip地址，經過ip地址咱們能夠大 致肯定它的地理位置。簡單的***分析也就結束了。 5、進一步擴展     以上只是針對常見的***進行分析的通常環境和步驟，***的種類繁多，特色各異。有的***採用UDP、ICMP等協議進行回連和數據傳輸，這須要我 們仔細分析所截獲到的網絡數據，在其中發現***可疑的通訊數據。更有一些RootKit***將寫入的註冊表的鍵值、***文件和數據通訊都隱藏起來，讓咱們 沒法使用以上工具在本機上發現任何異常。遇到這種狀況，咱們能夠在同一網段的其餘機器上安裝嗅探器來監聽裝有***的虛擬主機數據，用啓動盤進入虛擬機系統 查找隱藏的***文件。這些都是咱們根據具體狀況要靈活採起的措施。也許有人會問咱們分析***時不是咱們的虛擬機系統被對方控制了麼？咱們的分析行爲和IP 地址也不就暴露了麼？若是你擔憂實驗會向***者泄漏你的網絡地址和意圖，那你必須將實驗環境網絡與互聯網斷開，不過咱們只要保證明驗環境的局域網絡是連通 的，就能夠經過構造DNS服務器等方式來查看***企圖解析的回連域名和查找的控制端IP地址，雖然這樣對於***的網絡數據的分析就不能更加全面的展開了， 但你的網絡分析工做對於***控制者來講就根本察覺不到了。 歡迎你們繼續探討***分析方法