第9章恶意代码及其概述.ppt

RegShot 动态行为监控方法 行为监控技术 Notification机制 Win32/Linux系统本身提供的行为通知机制 API Hooking技术 对系统调用或API调用进行劫持，监控行为 系统行为动态监控工具 文件行为监控: Filemon、ProcMon 进程行为监控: Process Explorer, lsof 注册表监控: Regmon 本地网络栈行为监控软件: lsof, TDImon, promiscdetect 完整的动态行为监控: MwSniffer, Sebek, … Process Monitor－文件、进程监控 Process Explorer－进程行为监控 MwSniffer –系统行为监控 网络监控 恶意代码开放的本地端口 本机检查: fport, TCPView(win32), lsof(linux) 网络检查: nmap 恶意代码发起的网络连接 捕获: tcpdump, wireshark (ethereal), TDImon 分析: argus, wireshark, snort 重现: tcpreplay 控制恶意代码网络流 IPTables, Snort_inline, … 恶意代码流行攻击方式-ARP欺骗 ARP防火墙(360, AntiARP) TCPView－网络行为监控 “沙盒”技术-Sandbox 沙盒技术 用于安全运行程序的安全环境. 经常被用于执行和分析非可信的代码. 用于防御的沙盒技术 Java Applets, jail(virtual hosting), 虚拟机, 权能 用于恶意代码分析的沙盒技术实例 Norman Sandbox(模拟器): /microsites/nsic/ CWSandbox(Native OS): / FVM Sandbox(Native OS) 轻量级并行化沙箱 developer: 宋程昱 并行化-标配服务器64路并行 动态调试技术 动态调试 程序运行时刻 它的执行过程进行调试(debugging) 二进制调试 动态调试技术 断点 单步模式 寄存器和内存状态查看与修改 动态调试工具 Windows：Ollydbg、windbg、IDA Pro、SoftICE Linux：gdb、systrace、ElfShell 作业 本次实践作业的任务是分析一个自制的恶意代码样本，以提高对恶意代码逆向工程分析技术的认识，并提高逆向工程分析的方法、工具和技术。 病毒样本分析登记表 样本名称 样本日期 大小（Bytes） 样本编号 样本来源 病毒样本分析结果登记表 项目 属性 详细描述 备注 自删除 是 启动方式 Runkey 释放文件 否 进程注入 是 网络连接 TCP 其他属性 病毒分析报告结构 一、概述 二、行为预览 1.病毒名称 2.病毒类型 3.病毒大小 4.传播方式 5.相关文件 6.病毒具体行为 a b 7.感染类型 8.开放工具 9.加壳类型 三、清理方式 1. 2. …… 内核模式Rootkit XueTr检测软件 恶意代码相关推荐书籍 基础 Ed. Skoudis, Lenny Zelter, Malware: Fighting Malicious Code(决战恶意代码)电子工业出版社. 刘倍昌，走进计算机病毒，人民邮电出版社，2011 进阶 Peter Szor, The Art of Computer Virus Research and Defense(计算机病毒防范艺术), 机械工业出版社. 段钢(看雪学院), 加密与解密(第三版), 电子工业出版社. 刘倍昌，计算机病毒揭秘与对抗，电子工业出版社，2011 提纲 恶意代码基础知识 恶意代码分析技术 课题实践：恶意代码静态分析 作业：分析一个自制恶意代码样本 恶意代码分析 没有分析的生活是毫无意义的。 ---苏格拉底 恶意代码分析 恶意代码分析与良性代码分析 相同点：通用代码分析技术 恶意代码分析的关键点 构建受控的分析环境, 通过静态/动态方法实施分析 恶意代码分析环境（病毒发烧友） 硬盘保护卡 快速恢复 基于虚拟化构建便携式分析环境 恶意代码自动分析环境（科学研究） 国家242信息安全计划项目 恶意代码分析环境（反病毒厂商） 恶意代码分析方法概述 静态分析 通过反病毒引擎扫描识别已知的恶意代码家族和变种名 逆向分析恶意代码模块构成，内部数据结构，关键控制流程等，理解恶意代码的机理，并提取特征码用于检测。 动态分析 通过在受控环境中执行目标代码，以获取目标代码的行为及运行结果。 恶意代码静态分析方法列表 恶意代码的扫描 使用反病毒软件进行检测 卡巴斯基、赛门铁克等 奇虎360、瑞星、金山、