第3章-動態分析基礎技術

3.1 沙箱：簡便但粗糙的方法

沙箱是一種在安全環境裏運行不信任程序的安全機制。

3.1.1 使用惡意代碼沙箱：Norman沙箱、GFI沙箱（沙箱網站/沙箱工具）

3.1.2 沙箱的缺點：

1.不能運行帶有特定惡意（命令行或註冊表）的程序

2.沙箱記錄事件的缺陷性

3.惡意代碼對沙箱的檢測

3.2 運行惡意代碼

DLL文件執行：rundll32.exe DLLname, Export argumrnts

惡意的DLL文件一般在DLLMain(DLL函數入口點)執行它們的代碼，DLLMain函數總會被加載，能夠經過rundll32.exe 加載DLL。或者經過修改PE頭部，並改變它的擴展名，使得Windows以一種可執行文件的方式來加載DLL。Tips:IMAGE_FILE_HEADER擦除IMAGE_FILE_DLL標記/DLL被安裝成服務的狀況須要啓動服務加載DLL。

3.3 進程監視器

進程監視器（Process Monitor/Procmon）: Windwos系統下的高級監視工具，提供了一種方式來監控註冊表、文件系統、網絡、進程和線程行爲。加強了兩種工具的功能：文件監控器FileMon和註冊表監控器RegMon。

3.3.1 進程監視器的顯示

3.3.2 進程監視器中的過濾

3.4 使用進程瀏覽器（Process Explorer）來查看進程

進程瀏覽器（Process Explorer）是微軟的免費產品，它是一款很是強大的任務管理器，進行動態分析時的必備工具。它能夠列出活躍的進程、被進程載入的DLL、各類進程屬性和總體系統信息，也能用來殺死一個進程、退出用戶登陸、啓動與激活進程。

3.4.1 進程瀏覽器的顯示

Porcess(進程名)、PID(進程號)、CPU(cpu使用率)、Description(進程描述）、Company Name(軟件公司名)

默認狀況：服務以粉色高亮顯示、進程爲藍色、新進程爲綠色、被終止進程爲紅色。

單擊進程：查看載入到內存裏的DLL文件

雙擊進程：查看屬性窗口

3.4.2 使用驗證選項

Verify:驗證磁盤上（不是內存中）的鏡像文件是否有微軟簽名認證。

3.4.3 比較字符串（識別進程替換）

3.4.4 使用依賴遍歷器（Dependency Walker）

新版工具無該功能，但目的是爲判斷是否加載惡意的DLL文件。

3.4.5 分析惡意文檔

開啓進程瀏覽器，而後打開文檔。若文檔開啓了新進程，可經過進程屬性窗口Image標籤訂位惡意代碼的位置。

3.5 使用Regshot比較註冊表快照

3.6 模擬網絡

惡意代碼常常會鏈接到命令與控制服務器，全部使用模擬網絡能夠進一步判斷惡意代碼行爲。

3.6.1 使用ApateDNS

3.6.2 使用Netcat進行監視

3.7 使用Wireshark進行數據包監聽

3.8 使用INetSim

3.9 基礎動態分析工具實踐

DNS重定向解析成功：

INetSim:日誌記錄