惡意軟件是指由網(wǎng)絡(luò)犯罪分子設(shè)計(jì)的惡意程序,，可通過(guò)創(chuàng)建后門(mén)入口來(lái)獲得對(duì)計(jì)算設(shè)備的訪問(wèn)權(quán),，從而竊取個(gè)人信息,、機(jī)密數(shù)據(jù),，實(shí)施對(duì)計(jì)算機(jī)系統(tǒng)的破壞。為了更好地防護(hù)惡意軟件,，避免由惡意軟件造成的危害,，必須對(duì)惡意軟件進(jìn)行分析,，以了解惡意軟件的類型、性質(zhì)和攻擊方法,。

　　惡意軟件分析工作主要包括在隔離環(huán)境下分析木馬,、病毒、rootkit,、勒索軟件或間諜軟件等惡意軟件家族的樣本,，運(yùn)用各種方法，根據(jù)其行為了解攻擊者動(dòng)機(jī),、目的及惡意軟件類型和功能等,，并創(chuàng)建規(guī)則來(lái)實(shí)施相應(yīng)的緩解措施。當(dāng)我們分析受感染的機(jī)器或文件時(shí),，我們的目標(biāo)主要包括：

　　識(shí)別受感染的文件,，檢測(cè)計(jì)算機(jī)設(shè)備和網(wǎng)絡(luò)系統(tǒng)中可能存在的惡意軟件；

　　了解可疑惡意軟件的功能,；

　　 全面評(píng)估和管理惡意軟件可能造成的損害,；

　　對(duì)惡意軟件進(jìn)行指標(biāo)分析，為后續(xù)檢測(cè)和防護(hù)產(chǎn)品研發(fā)創(chuàng)建正確的規(guī)則措施,。

　　有效的惡意軟件分析可以幫助安全團(tuán)隊(duì)快速檢測(cè)并防止攻擊者實(shí)施破壞活動(dòng),。本文將重點(diǎn)介紹目前常見(jiàn)的惡意軟件分析方法及相關(guān)工具。

　　靜態(tài)惡意軟件分析

　　靜態(tài)惡意軟件分析包括提取和檢查不同二進(jìn)制組件和可執(zhí)行文件的靜態(tài)行為,，比如API 標(biāo)頭、引用的DLL,、便攜式可執(zhí)行（PE）區(qū)域以及更多此類內(nèi)容,。任何有悖于正常結(jié)果的偏差都記錄在靜態(tài)調(diào)查中。靜態(tài)分析在不執(zhí)行惡意軟件的情況下完成,，而動(dòng)態(tài)分析一般是在受控環(huán)境下執(zhí)行惡意軟件來(lái)進(jìn)行,。

　　在靜態(tài)分析中，涉及以下幾個(gè)方面的工作：

　　1.反匯編——程序可以移植到新的計(jì)算機(jī)平臺(tái)上,，通過(guò)在不同環(huán)境中編譯源代碼來(lái)實(shí)現(xiàn),。

　　2.文件指紋——用于識(shí)別和跟蹤網(wǎng)絡(luò)上的數(shù)據(jù)。

　　3.病毒掃描——?jiǎng)h除惡意軟件,、病毒,、間諜軟件及其他威脅。

　　4.分析內(nèi)存工件——在分析內(nèi)存工件（比如RAM轉(zhuǎn)儲(chǔ),、pagefile.sys或hiberfile.sys）期間,，檢查方可以開(kāi)始識(shí)別流氓進(jìn)程。

　　5.打包器檢測(cè)——用于檢測(cè)打包器,、密碼器,、編譯器,、打包器加擾器、連接器和安裝器,。

　　靜態(tài)分析工具包括：

　　Hybrid-analysis——使用獨(dú)特的混合分析技術(shù),，檢測(cè)和分析未知威脅。

　　Virustotal.com——該免費(fèi)服務(wù)可以分析可疑的文件和URL,。

　　BinText——該文件文本掃描器/提取器可幫助查找深藏在二進(jìn)制文件中的字符串,。

　　Dependency Walker——該免費(fèi)程序可列出便攜式可執(zhí)行文件的導(dǎo)入和導(dǎo)出模塊。

　　IDA——該程序可以將機(jī)器語(yǔ)言轉(zhuǎn)換成匯編語(yǔ)言,。

　　Md5deep——這套跨平臺(tái)工具可計(jì)算和審核輸入文件的散列（Hash）,。

　　PEiD——可針對(duì)便攜式可執(zhí)行（PE）文件檢測(cè)大多數(shù)常見(jiàn)的打包器、加密器和編譯器等,。

　　Exeinfo PE——該軟件可查看任何可執(zhí)行文件的各種信息,。

　　RDG Packer——可檢測(cè)打包器、加密器和編譯器等,。

　　D4dot——該工具擅長(zhǎng)將打包和混淆的程序集恢復(fù)到幾乎原始的程序集,。

　　PEview——可快速輕松地查看32位PE文件和組件對(duì)象文件格式（COFF）的結(jié)構(gòu)和內(nèi)容。

　　動(dòng)態(tài)惡意軟件分析

　　動(dòng)態(tài)惡意軟件分析是分析師發(fā)現(xiàn)惡意軟件功能的首選方法,。在動(dòng)態(tài)分析中,，分析師將構(gòu)建用作惡意軟件分析的虛擬機(jī)。分析師將通過(guò)沙盒來(lái)分析惡意軟件,，并分析惡意軟件生成的數(shù)據(jù)包數(shù)據(jù),。在動(dòng)態(tài)分析中，隔離環(huán)境以避免惡意軟件逃逸非常重要,。

　　在動(dòng)態(tài)分析中,，需要注意以下幾個(gè)問(wèn)題：

　　檢查單個(gè)路徑（執(zhí)行跟蹤）

　　分析環(huán)境可能并非隱形的

　　分析環(huán)境可能并非全面的

　　動(dòng)態(tài)分析工具包括：

　　Procmon——這款先進(jìn)的監(jiān)控工具可顯示文件系統(tǒng)、注冊(cè)表和進(jìn)程/線程的實(shí)時(shí)活動(dòng),。

　　Process Explorer——這是一款面向Windows操作系統(tǒng)的系統(tǒng)資源監(jiān)控工具,。

　　Anubis——該動(dòng)態(tài)惡意軟件分析平臺(tái)可在受控環(huán)境下執(zhí)行提交的二進(jìn)制代碼。

　　Comodo Instant Malware Analysis——比較容易使用和理解的在線沙盒服務(wù),。

　　Process MonitorRegshot——這款流行的注冊(cè)表監(jiān)控工具可顯示文件系統(tǒng),、注冊(cè)表和進(jìn)程/線程的實(shí)時(shí)活動(dòng)。

　　ApateDNS——該工具通過(guò)易于使用的GUI來(lái)控制DNS響應(yīng),。

　　OllyDbg——一款側(cè)重二進(jìn)制代碼分析的x86調(diào)試器,。

　　Regshot——這款開(kāi)源注冊(cè)表比較工具可迅速獲取注冊(cè)表的快照，并進(jìn)行比對(duì),。

　　Netcat——該計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用工具使用TCP或UDP協(xié)議在網(wǎng)絡(luò)中讀取數(shù)據(jù),。

　　Wireshark——該免費(fèi)開(kāi)源數(shù)據(jù)包分析器可用于網(wǎng)絡(luò)故障排查、分析、軟件和通信協(xié)議開(kāi)發(fā)等,。

　　內(nèi)存取證分析

　　內(nèi)存取證分析含有關(guān)于系統(tǒng)運(yùn)行時(shí)狀態(tài)的信息,，并提供將來(lái)自傳統(tǒng)取證分析工件（網(wǎng)絡(luò)、文件系統(tǒng)和注冊(cè)表）關(guān)聯(lián)起來(lái)的功能,。

　　在內(nèi)存分析中,，涉及以下幾個(gè)方面的工作：

　　映像全部的系統(tǒng)內(nèi)存（不依賴API調(diào)用）。

　　將進(jìn)程的整個(gè)地址空間映像到磁盤(pán),，包括進(jìn)程的已加載DLL,、EXE、堆和堆棧,。

　　將內(nèi)存中加載的指定驅(qū)動(dòng)程序或所有驅(qū)動(dòng)程序映像到磁盤(pán),。

　　加密進(jìn)程地址空間中的EXE和DLL（MD5、SHA1,、SHA256）,。

　　驗(yàn)證EXE和DLL的數(shù)字簽名（基于磁盤(pán)）。

　　針對(duì)某個(gè)進(jìn)程,，輸出內(nèi)存中的所有字符串,。

　　內(nèi)存取證分析工具包括：

　　WinDbg——Windows系統(tǒng)的內(nèi)核調(diào)試器。

　　Muninn ——使用Volatility自動(dòng)執(zhí)行部分分析的腳本,。

　　DAMM ——基于Volatility,，針對(duì)內(nèi)存中惡意軟件的差異分析。

　　FindAES ——查找內(nèi)存中的AES加密密鑰,。

　　Volatility ——先進(jìn)的內(nèi)存取證框架,。

　　惡意軟件檢測(cè)

　　惡意軟件檢測(cè)是指掃描計(jì)算機(jī)和文件以檢測(cè)惡意軟件的過(guò)程。它不是單向過(guò)程,，實(shí)際上相當(dāng)復(fù)雜,。它結(jié)合多款工具和方法進(jìn)行檢測(cè)，檢測(cè)和清除過(guò)程通常在50秒鐘內(nèi)完成,，在惡意軟件檢測(cè)方面卓有成效。

　　以下是常見(jiàn)的幾種檢測(cè)方式：

　　基于特征或模式的匹配：特征是識(shí)別特定病毒唯一身份的算法或散列（從文本字符串獲取的數(shù)字）,。

　　啟發(fā)式分析或主動(dòng)防御：?jiǎn)l(fā)式掃描類似特征掃描,，只不過(guò)啟發(fā)式掃描并非尋找特定的特征，而是在程序中尋找典型應(yīng)用程序中沒(méi)有的某些指令或命令,。

　　基于規(guī)則：?jiǎn)l(fā)式引擎中進(jìn)行分析的組件（分析器）從文件中提取某些規(guī)則,，并將這些規(guī)則與惡意代碼的一組規(guī)則進(jìn)行比較。

　　行為分析：相比之下,，可疑行為分析方法不是試圖識(shí)別已知病毒,，而是監(jiān)測(cè)所有程序的行為。

　　基于權(quán)重：根據(jù)危險(xiǎn)程度，對(duì)所檢測(cè)的每個(gè)功能賦予某個(gè)權(quán)重,。

　　沙盒：允許文件在受控的虛擬系統(tǒng)（即沙盒）中運(yùn)行,，查看其行為。

　　惡意軟件檢測(cè)工具包括：

　　YARA——分析員的模式匹配工具,。

　　Yara規(guī)則生成器——根據(jù)一組惡意軟件樣本生成YARA規(guī)則,。

　　File Scanning Framework——模塊化遞歸式文件掃描解決方案。

　　hash deep——使用多種算法計(jì)算摘要散列,。

　　Loki——基于主機(jī)的掃描器,，掃描攻陷指標(biāo)（IOC）。

　　Malfunction——在函數(shù)層面對(duì)惡意軟件進(jìn)行登記和比較,。

　　MASTIFF——靜態(tài)分析框架,。

　　網(wǎng)絡(luò)交互分析

　　網(wǎng)絡(luò)交互分析在專注于網(wǎng)絡(luò)安全的同時(shí)，還監(jiān)控綜合平臺(tái),，以執(zhí)行更普通的網(wǎng)絡(luò)流量分析,。被動(dòng)網(wǎng)絡(luò)嗅探器/數(shù)據(jù)包捕獲工具可用于檢測(cè)操作系統(tǒng)、會(huì)話,、主機(jī)名和開(kāi)放端口等,，并不在網(wǎng)絡(luò)上帶來(lái)任何流量?？煞治鲆蕴W(wǎng),、PPP、SLIP,、FDDI,、令牌環(huán)和空接口上的IPv4/6、TCP,、UDP,、ICMPv4/6、IGMP和Raw流量,，采用與數(shù)據(jù)包嗅探相同的方式理解BPF過(guò)濾器邏輯,。

　　網(wǎng)絡(luò)交互分析工具包括：

　　?Tcpdump——收集網(wǎng)絡(luò)流量。

　　?tcpick——從網(wǎng)絡(luò)流量中跟蹤和重組TCP數(shù)據(jù)流,。

　　?tcpxtract——從網(wǎng)絡(luò)流量中提取文件,。

　　?Wireshark——網(wǎng)絡(luò)流量分析工具。

　　?CapTipper——惡意HTTP流量管理器,。

　　?Chopshop——協(xié)議分析和解碼框架,。

　　?CloudShark——基于Web的工具，用于分析數(shù)據(jù)包和檢測(cè)惡意軟件流量,。

　　代碼調(diào)試器

　　代碼調(diào)試器是實(shí)用的惡意軟件分析工具,，允許在底層分析代碼。調(diào)試器的重要功能是斷點(diǎn)（breakpoint）。斷點(diǎn)命中時(shí),，程序執(zhí)行被停止,，并將控制權(quán)交給調(diào)試器，允許對(duì)當(dāng)時(shí)的環(huán)境進(jìn)行惡意軟件分析,。調(diào)試器可利用專門(mén)的中央處理單元（CPU）工具,，可以讓用戶深入了解程序如何執(zhí)行任務(wù)，并訪問(wèn)被調(diào)試程序的環(huán)境等,。這在分析惡意軟件時(shí)可能很有用,，因?yàn)榭梢宰層脩艨吹秸{(diào)試器如何嘗試檢測(cè)篡改，并跳過(guò)有意插入的垃圾指令,。

　　調(diào)試工具包括：

　　?obj dump——GNU Binutils 的一部分,，用于Linux二進(jìn)制代碼的靜態(tài)分析。

　　?OllyDbg——Windows可執(zhí)行文件的匯編級(jí)調(diào)試器,。

　　?FPort——報(bào)告實(shí)時(shí)系統(tǒng)中敞開(kāi)的TCP/IP和UDP端口,，并將它們映射到對(duì)應(yīng)的應(yīng)用程序。

　　?GDB——GNU調(diào)試器,。

　　?IDA Pro——Windows反匯編器和調(diào)試器,，有免費(fèi)評(píng)估版。

　　?Immunity Debugger——用于分析惡意軟件的調(diào)試器,，附有Python API,。

　　惡意URL分析

　　如今，網(wǎng)站暴露在各種威脅面前,，受感染的網(wǎng)站將被用作跳板,，幫助攻擊者達(dá)到邪惡目的。比如,，URL重定向機(jī)制已被廣泛用于隱蔽地執(zhí)行基于Web的攻擊,。重定向是指自動(dòng)替換訪問(wèn)目的地，一般由Web上的HTTP協(xié)議加以控制,。除了這種傳統(tǒng)方法外,，還經(jīng)常使用自動(dòng)訪問(wèn)外部Web內(nèi)容（比如iframe標(biāo)簽）的其他方法。惡意URL分析是通過(guò)機(jī)器學(xué)習(xí)等方式,，分析URL文本分詞詞頻來(lái)檢測(cè)惡意URL,。

　　惡意URL分析工具包括：

　　?Firebug——用于Web開(kāi)發(fā)的Firefox擴(kuò)展件。

　　?Java Decompiler——反編譯和檢查Java應(yīng)用程序,。

　　?jsunpack-n——模擬瀏覽器功能的javascript解包器。

　　?Krakatau——Java 反編譯器,、匯編器和反匯編器,。

　　?Malzilla——分析惡意網(wǎng)頁(yè)。

　　沙盒技術(shù)

　　沙盒是一個(gè)重要的安全分析系統(tǒng)，可以隔離程序,，防止惡意或失敗的項(xiàng)目損害或窺視PC上的任何剩余部分,。沙盒是嚴(yán)格控制的環(huán)境，限制了一部分代碼可以執(zhí)行的操作,。

　　沙盒分析工具包括：

　　?firmware.re——可以拆解,、掃描和分析幾乎任何固件包。

　　?Hybrid Analysis——基于VxSandbox的在線惡意軟件分析工具,。

　　?IRMA——用于分析可疑文件的異步可定制分析平臺(tái),。

　　?Cuckoo Sandbox——開(kāi)源自托管的沙盒和自動(dòng)分析系統(tǒng)。

　　?cuckoo-modified——使用GPL許可證的Cuckoo Sandbox的修改版,。

　　?PDF Examiner——分析可疑的PDF文件,。

　　?ProcDot——圖形化惡意軟件分析工具包。

　　?Recomposer——將二進(jìn)制代碼安全地上傳到沙盒的幫助腳本,。

　　?Sand droid——自動(dòng)完整的安卓應(yīng)用程序分析系統(tǒng),。

　　網(wǎng)域分析

　　網(wǎng)域分析是指安全分析師了解背景信息、檢查網(wǎng)域和IP地址的過(guò)程,。網(wǎng)域分析應(yīng)該包括已找到信息的簡(jiǎn)要總結(jié),，以及使其他人能夠找到該信息的參考資料。

　　網(wǎng)域分析工具包括：

　　?SpamCop——基于IP的垃圾郵件阻止列表,。

　　?SpamHaus——基于網(wǎng)域和IP的阻止列表,。

　　?Sucuri SiteCheck——免費(fèi)的網(wǎng)站惡意軟件和安全掃描器。

　　?TekDefense Automatic——用于收集有關(guān)URL,、IP或散列的OSINT工具,。

　　?URLQuery——免費(fèi)的URL掃描器。

　　?IPinfo——通過(guò)搜索在線資源,，收集有關(guān)IP或網(wǎng)域的信息,。

　　?Whois——免費(fèi)在線whois搜索。

　　?Mail checker——跨語(yǔ)言的臨時(shí)電子郵件檢測(cè)庫(kù),。

更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<