网络犯罪侦查技术.ppt

网络犯罪侦察技术 林英云南大学软件学院2009年秋季学期 第七章黑客工具研究 Outline本章讲述正确 科学地进行工具分析的一种方法 将学会如何应对不明功能的可执行文件 并采取某些措施查明其运行目的 工具分析的目的 如果从恶意程序文件名难以找出功能线索 则需要对黑客工具进行分析 以达到以下目的 预防以后类似的攻击 估计攻击者的技术或威胁程度 确定危害程度 确定是否造成损失 确定攻击者的数量和类型 如果抓到攻击者 可以准备质询的问题 确定攻击者的目标和目的 特定还是随机 4 2020 3 26 文件编译方式编译器的作用 SourceCode ObjectCode静态链接的程序静态链接的可执行文件中包含了文件执行过程中需要的所有必须代码 程序的执行不特别依赖于某个版本的操作系统用GNU编译器静态编译Linux下的程序gcc staticzap c ozapstatic 动态链接的程序几乎所有操作系统都支持共享库 共享库中包含了通用的函数和例程 当程序使用到共享库的程序时 可以直接从系统内存中调用 程序代码不再需要包含所有用到的通用函数和例程 减少了可执行文件的大小 节省了系统内存 并且在对共享库进行升级时不需要再修改原始文件用GNU编译器生成一个动态编译的可执行文件gcczap c ozap outGNU编译器的默认动作就是产生一个动态连接的可执行文件 用调试选项编译程序打开编译器的调试选项之后 编译器会把大量的程序信息和程序源代码包括进来 用GUN编译器以调试模式编译源代码文件gcc gzap c ozapdebug调试模式有3种调试级别 每一级别比前一级别显示更多的调试信息 默认二级GCC根据调试级别产生调试信息 以便进行回溯跟踪和对函数 外部变量 局部变量和宏定义进行描述用不同的方式编译的文件大小比较 root unix ls almtotal1604drwxr xr x2rootroot1024mar2208 10 drwxr xr x3rootroot1024mar2208 06 rwxr xr x1rootroot1972mar2208 05zap c rwxr xr x1rootroot25657mar2208 06zapdebug rwxr xr x1rootroot13217mar2208 08zapdynamic rwxr xr x1rootroot1587273mar2208 05zapstatic 被剥离的 精简化 程序精简程序丢弃目标代码中的所有符号以缩小文件大小 并可能优化文件执行 动态编译程序精简前 包含符号信息 使用nm命令可以将这些符号列出来 而strip命令将这些信息从文件中去掉 动态编译程序精简化后 文件大小达到最小 在使用字符串 符号提取技术分析这类文件时 往往最为困难stripzapdynamic 用UPX压缩的程序UPX是一个高效的可执行文件压缩工具 攻击者可以采用UPX将攻击程序隐蔽起来 以绕过基于签名机制的IDS UPX支持多种文件的打包 拆包 对恶意代码中的ASCII字符串进行检查后 可以看出可执行文件是否经过UPX压缩 如果发现一个UPX压缩过的可执行文件 应该使用UPX进行解压缩 然后用strings命令来查看正常情况下可执行文件中的字符串 符号提取对于未精简化的文件 可以采用字符串和符号提取技术进行分析 在UNIX系统下 可以使用nm命令 root unix nm azap08049a20A bss startUbzero GLIBC 2 008048474tcall gmon start 在nm命令的输出中 第1栏是十六进制符号值 后面依次是符号类型和符号名称 符号类型如果是小写字母 表示一个局部变量 如果是大写 表示全局变量 A一个绝对值 B一个未初始化的数据段 C公共数据段 D初始化后的数据段 N一个调试符号 R一个只读数据段中的符号 T一个代码数据段中的符号 U一个未定义的符号 mn的 l选项可以列出行编号 如果有调试信息 则该选项很有用 root unix nm alzapdebug0804872aTkill lastlog home johndoe zap c 5908048500Tkill utmp home johndoe zap c 17080485e0Tkill wtmp home johndoe zap c 33 13 2020 3 26 编译技术和文件分析fileZ strings aZ Upx dZ ofoo fileZ strings afoo 14 2020 3 26 静态分析是一种不需要实际运行恶意代码的工具分析方法 因为不运行代码 所以无论目标代码是什么类型 都可以在任何操作系统环境中进行静态分析 步骤确定检查文件的类型查看二进制文件中包含的ASCII和Unicode字符串进行在线调查 确定工具是否是计算机安全或黑客网站上流行的某种工具 并与之比较如果拥有源代码 可进行源代码检查 黑客工具的静态分析 确定文件类型 确定要分析的可执行文件后 下一步就是要确定该可执行文件的编译方式 以及编译生成该文件的操作系统环境和架构 一般来说包括以下几种常见的类型 Windows下的可执行文件或者动态链接库文件Linuxa out elf 脚本文件Solarisa out elf 脚本文件Dos32位COFF文件Dos16位可执行文件 UNIX下的file命令 可以精确地指出文件的编译方式 以及文件运行所需的操作系统 Windows下的exetype命令 检查ASCII和Unicode字符串 基本的静态分析方法涉及检查二进制文件中ASCII字符串 通过识别一些关键字 命令行参数和变量 可以洞察程序的目的strings十六进制编辑器 黑客工具的动态分析 动态分析指运行恶意代码并研究它与主机操作系统的交互 监视时间和日期戳以确定黑客工具影响什么文件运行该程序以截获它的系统调用进行网路监视确定是否有网络数据包产生监视基于Windows的可执行文件如何与注册表进行交互 创建沙箱环境进行动态工具分析 实际上就是运行恶意文件以记录它对系统的影响 因此 你需要投入时间来建立适当的测试环境 首先 要保证具备运行目标代码所需的操作系统和架构 同时 最好在测试系统上安装VMware VMware可以让你在一个受控的环境下运行恶意代码 保护司法鉴定工作站免遭破坏 VMware具有一个特性 称为非持久性写入 它允许测试者运行恶意代码 而代码造成的破坏不会被保存到硬盘上 网络资源Vmware http Windows系统下的动态分析 Windows系统下的动态分析 即运行恶意代码 使用工具来监控它与文件系统 注册表 应用编程接口 API 和操作系统之间是如何交互的 对Windows程序进行动态分析时 我们使用的工具有Filemon Regmon ListDLLs Fport和PsList 网络资源Filemon Regmon ListDLLs和Pslist http Fport 使用FilemonFilemon工具能在运行中的进程和文件系统之间提供窃听功能 它截取进程对文件系统的所有访问和查询 当你执行恶意代码时 它能帮你确定程序读 写和访问过的所有文件 使用RegmonRegmon工具能够监视进程与Windows注册表的交互 它不用很长时间就能帮你找出那些程序在执行过程中查询 列举和关闭了950多个注册表键 你可以设定Regmon的过滤器 集中检查某些相关的键 Regmon的另一个好处是它提供了对注册表编辑器的直接访问 使用ListDLLsListDLLs可以显示进程所需要的所有DLL 它能列出进程装载的DLL的完整路径名 ListDLLs是一个用来识别所有已执行文件的完整命令行的优秀工具 使用Fport和PsListFport和PsList是在Windows系统上进行动态分析的主要工具 Fport在执行恶意程序之前和之后运行 以确定进程是否打开过任何网络套接字 PsList可以用来确定程序在运行后是否修改了进程名 Windows下的深入分析 本章描述的工具只是提供了初级的分析方法 反编译和调试是分析的下一步 这个领域有几个非常优秀的工具 例如IDAPro和SoftICE 网络资源IDAPro http 一款交互式的 可编程的 可扩展的 Windows平台上的支持多种处理器的反汇编程序 被公认为最好的花钱可以买到的反汇编利器 IDAPro已经成为事实上的分析敌意代码的标准并让其自身迅速成为攻击研究领域的重要工具 SoftICE 小结 正确的工具分析有助于防止未来的攻击 确定受破坏程度和确定入侵者的数量和类型 正确的工具分析对应急响应的恢复和清除阶段也非常有用 识别出黑客工具的类型 名称和位置之后 你可以扫描网络以查找其他地方是否存在相同的黑客工具 问题 1 哪种类型的二进制文件分析起来