3.4 恶意代码的检测分析

第4节恶意代码的检测分析第3章目

录01恶意代码的检测02恶意代码的分析01恶意代码的检测常见恶意代码的检测方法特征码扫描应用最广泛的恶意代码检测技术工作机制：特征匹配病毒库（恶意代码特征库）扫描（特征匹配过程）优点准确(误报率低)易于管理缺点效率问题（特征库不断庞大、依赖厂商）滞后（先有病毒后有特征库，需要持续更新）特征码扫描工具源代码特征码扫描结果特征码扫描基于Python的恶意代码特征码扫描工具工具特点根据常见病毒特征码进行检测常见恶意代码的检测方法沙箱沙箱技术工作机制：在虚拟环境中触发恶意代码样本置于沙箱中，触发样本表现出恶意行为对样本进行恶意性判定和行为特征的揭示本地程序可疑程序操作系统和本地资源可疑程序优点能发现高级恶意代码（如：加壳混淆恶意代码）能捕获恶意代码运行行为缺点部署沙箱技术的方式存在固有缺陷常见恶意代码的检测方法某个木马行为分析结果行为检测工作机制：基于统计数据恶意代码行为有哪些行为符合度优点缺点能检测到未知病毒易于管理误报率高（因为恶意代码行为及正常软件行为识别存在一定难度）难点：病毒不可判定原则常见恶意代码的检测方法02恶意代码的分析恶意代码分析技术恶意代码分析技术-静态分析概念程序静态分析（ProgramStaticAnalysis）是指在不运行代码的方式下，通过词法分析、语法分析、控制流、数据流分析等技术对程序代码进行分析，验证代码是否满足规范性、安全性、可靠性、可维护性等指标的一种代码分析技术。优点不需要运行恶意代码，不会影响运行环境的安全。可以分析恶意代码的所有执行路径。随着复杂度的提高，执行路径数量庞大，冗余路径增多，分析效率较低。缺点恶意代码分析技术-动态分析概念动态分析技术是指在虚拟运行环境里，运行程序代码并使用监控及测试软件分析的技术。若运行的程序代码为恶意代码，最终可检测出恶意代码行为。优点缺点针对性强具有较高的准确性由于分析过程中覆盖的执行路径有限，分析的完整性难以保证。恶意代码分析技术静态分析技术文件名分析文件长度特征文件位置特征文件时间特征文件版本特征数字签名程序形态特征常规分析格式分析PE信息API查看字符串信息资源信息静态分析技术代码分析样本文件格式：PE文件（.exe、.dll）、脚本文件等。PE信息分析(是否加壳、加壳类型等)API调用附加数据分析（字符串、资源）常用静态分析工具：IDAPro（交互式反汇编器专业版）动态分析技术动态分析的常见方法-程序功能分析在进行程序代码动态分析时，需要根据程序的功能来判断程序运行流程，并且需要在其中找出问题代码的关键点，找到关键点后，即可进行下一步的调试。程序代码动态分析关键判断点是否进行API的调用是否进行文件的读写：包括新增内容、删除内容、改动内容是否进行注册表的读写：新增注册表、删除注册表、改动注册表是否进行内核的调用动态分析技术动态分析的常见方法-代码行为分析通过分析程序的功能找到关键点后，还需要分析代码的攻击行为，根据攻击行为可以进一步判断是否为包含恶意带代码的攻击程序。常见恶意代码行为本地行为网络行为传播方式运行位置感染方式其他结果为恶意代码查杀防御提供支撑！动态分析技术OllyDbg调试工具文件列表在动态分析技术中最重要的工具是调试器，分为如下两种用户模式例如：OllyDbg、x64dbg等。内核模式例如：WinDbg。恶意代码分析工具经过UPX加壳的程序程序查壳工具-PEiD工具简介PEiD可以用来检测加壳器的类型或用来链接应用程序的编译器类型。使用方法直接载入恶意代码文件即可。结果分析类似工具若扫描成功，会在文本框给出所加壳的信息。当文本框不显示时，可以看EP节点名字，可能就是所加壳的类型。ExeinfoPE恶意代码分析工具注：通过IDAPro完整地分析恶意代码程序，需要具备大量计算机基础知识（汇编语言、C语言等），难度很大。IDAPro工具工作界面静态分析工具-IDAPro工具简介IDAPro是一款静态反编译软件，主要通过反编译、调试对程序代码进行分析或进行漏洞研究。使用方法安装工具后载入需要分析的程序即可。IDA反汇编流程确定需要进行反汇编的代码区域逐条读取指令，查表，输出汇编语言描述符确定各个函数的起始和结束位置类似工具GhidraOllyDbg工具工作界面注：通过OllyDbg完整地调试恶意代码程序，需要具备大量计算机基础知识，难度较大。恶意代码分析工具动态分析工具-OllyDbgOllyDbg是当前主流的动态跟踪调试工具，通过OllyDbg可以动态分析程序的运行过程及动态。OllyDbg常被用来破解软件。免安装版直接打开工具载入调试程序即可。尝试正常运行程序判断程序关键功能点判断是否加壳进行程序运行流程调试X64Dbg、WinDbg、SoftICE工具简介使用方法类似工具OllyDbg动态调试流程恶意代码分析工具Web恶意代码分析-Wireshark工具简介Wireshark是一款网络数据包分析工具。通过Wireshark可以分析网络层的数据包详细内容，也可以分析应用层的数据包（如：网站浏览数据）。使用方法选择指定网络接口开启数据监听并分析。Wireshark流程捕获数据包筛选分析条件分析数据包类似工具TcpDump（Linux平台）持久性后门分析粘滞键后门脚本粘滞键后门启动效果注：有关于后门分析的详细操作步骤，请参阅第三章/持久性后门安全分析.mp4Windows常见后门-粘滞键后门后门简介粘滞键指的是电脑使用中的一种快捷键，主要功能是方便Shift等键的组合使用。攻击者利用粘滞键调用的特性，将cmd.exe植入到系统，形成持久性后门。植入方式攻击者通常会在入侵系统后，通过远程执行命令或脚本植入后门，也会通过其他方式（如：钓鱼邮件、钓鱼网站等）诱导用户植入。STEP1网站木马动态分析注：有关于网站木马分析的详细操作步骤，请参阅第三章/利用流量分析工具分析网站木马攻击行为.mp4一句话木马分析打开需要分析的数据包STEP2分析木马连接地址STEP3分析木马入口密码STE