3.1 沙箱:簡便但粗糙的方法瀏覽器
沙箱是一種在安全環境裏運行不信任程序的安全機制。安全
3.1.1 使用惡意代碼沙箱:Norman沙箱、GFI沙箱(沙箱網站/沙箱工具)服務器
3.1.2 沙箱的缺點:網絡
1.不能運行帶有特定惡意(命令行或註冊表)的程序函數
2.沙箱記錄事件的缺陷性工具
3.惡意代碼對沙箱的檢測網站
3.2 運行惡意代碼命令行
DLL文件執行:rundll32.exe DLLname, Export argumrnts線程
惡意的DLL文件一般在DLLMain(DLL函數入口點)執行它們的代碼,DLLMain函數總會被加載,能夠經過rundll32.exe 加載DLL。或者經過修改PE頭部,並改變它的擴展名,使得Windows以一種可執行文件的方式來加載DLL。Tips:IMAGE_FILE_HEADER擦除IMAGE_FILE_DLL標記/DLL被安裝成服務的狀況須要啓動服務加載DLL。3d
3.3 進程監視器
進程監視器(Process Monitor/Procmon): Windwos系統下的高級監視工具,提供了一種方式來監控註冊表、文件系統、網絡、進程和線程行爲。加強了兩種工具的功能:文件監控器FileMon和註冊表監控器RegMon。
3.3.1 進程監視器的顯示
3.3.2 進程監視器中的過濾
3.4 使用進程瀏覽器(Process Explorer)來查看進程
進程瀏覽器(Process Explorer)是微軟的免費產品,它是一款很是強大的任務管理器,進行動態分析時的必備工具。它能夠列出活躍的進程、被進程載入的DLL、各類進程屬性和總體系統信息,也能用來殺死一個進程、退出用戶登陸、啓動與激活進程。
3.4.1 進程瀏覽器的顯示
Porcess(進程名)、PID(進程號)、CPU(cpu使用率)、Description(進程描述)、Company Name(軟件公司名)
默認狀況:服務以粉色高亮顯示、進程爲藍色、新進程爲綠色、被終止進程爲紅色。
單擊進程:查看載入到內存裏的DLL文件
雙擊進程:查看屬性窗口
3.4.2 使用驗證選項
Verify:驗證磁盤上(不是內存中)的鏡像文件是否有微軟簽名認證。
3.4.3 比較字符串(識別進程替換)
3.4.4 使用依賴遍歷器(Dependency Walker)
新版工具無該功能,但目的是爲判斷是否加載惡意的DLL文件。
3.4.5 分析惡意文檔
開啓進程瀏覽器,而後打開文檔。若文檔開啓了新進程,可經過進程屬性窗口Image標籤訂位惡意代碼的位置。
3.5 使用Regshot比較註冊表快照
3.6 模擬網絡
惡意代碼常常會鏈接到命令與控制服務器,全部使用模擬網絡能夠進一步判斷惡意代碼行爲。
3.6.1 使用ApateDNS
3.6.2 使用Netcat進行監視
3.7 使用Wireshark進行數據包監聽
3.8 使用INetSim
3.9 基礎動態分析工具實踐
DNS重定向解析成功:
INetSim:日誌記錄