摘要:分析惡意軟件有很多方法�。這是一個(gè)虛擬化環(huán)境下的惡意軟件分析系統(tǒng)����。整體上,基于虛擬機(jī)技術(shù)�,使用中央控制系統(tǒng)和模塊設(shè)計(jì),結(jié)合的自動(dòng)化特征��,已經(jīng)是頗為自動(dòng)化的惡意軟件行為研究環(huán)境����。加密的通訊幾乎不可能直接分析。
分析惡意軟件(malicious ware)有很多方法�����。請(qǐng)容我不自量力推薦兩個(gè)開放源代碼的免費(fèi)系統(tǒng) Cuckoo 和 MalWasm ��。這是一個(gè)虛擬化環(huán)境下的惡意軟件分析系統(tǒng)�。
基于虛擬化進(jìn)行程序分析有很多優(yōu)點(diǎn):
整機(jī)內(nèi)存可以dump出來,并且可以隨時(shí)做snapshot���;
多數(shù)網(wǎng)絡(luò)通訊可以分析��;
無論殺毒軟件如何吹噓它們的啟發(fā)式分析引擎����,但是xss的故事已經(jīng)證明區(qū)區(qū)XOR加密就可以將他們?nèi)縝ypass。但是行為分析鎖定的是行為不是嗎�?
綜上,對(duì)瀏覽器的攻擊可以通過分析文件行為進(jìn)行����。攻擊瀏覽器不是什么新鮮事了,但是瀏覽器和游戲程序差不多龐大��、多種運(yùn)行機(jī)制(JS和flash�、各種網(wǎng)銀的activeX都有自己的Rendor),直接使用鍵盤調(diào)試恐怕是要按到手抽筋!
效率和人性化���,真的是很贊�!
言歸正傳����,繼續(xù)看本文的主角Cuckoo和MalMAsm吧!
Cuckoo 的全稱是OpenSource Cuckoo Sandbox?Project�。它由我所尊敬的一些安全先驅(qū)開發(fā)�,其中一些人也是開源honeyspot?的contributor����。實(shí)際上在2010年的時(shí)候Cuckoo還是honeyNET的一個(gè)子項(xiàng)目。這些前輩獨(dú)到的蜜罐網(wǎng)絡(luò)研發(fā)的技巧�����,讓Cuckoo可以輕而易舉的進(jìn)行URL分析����、網(wǎng)絡(luò)通訊分析�����、程序分析�、pdf分析。
整體上����,Cuckoo基于虛擬機(jī)技術(shù),使用中央控制系統(tǒng)和模塊設(shè)計(jì)���,結(jié)合python的自動(dòng)化特征�,已經(jīng)是頗為自動(dòng)化的惡意軟件行為研究環(huán)境。
出于研發(fā)歷史的考量��,個(gè)人推薦使用debian或ubuntu主機(jī)安裝virtualbox當(dāng)作Cuckoo Host�,WinXP做guest。實(shí)際上Cuckoo也支持Macox和KVM 等其他環(huán)境�����,也支持Windows7做guest—不過調(diào)試環(huán)境還是穩(wěn)定優(yōu)先吧�?
如果只是純粹為程序的抽象行為做分析,則也有傻瓜的平方級(jí)別的工具M(jìn)alWAsm�。按照官方的document進(jìn)行安裝之后,
在CuckooSandbox環(huán)境直接運(yùn)行可疑的東西����;
MalMasm會(huì)利用pintool將程序行為全部log;
MalMasm將所有行為存儲(chǔ)在PostGres數(shù)據(jù)庫�����;
MalMAsm 有web front���,研究員可以直接在網(wǎng)頁里查看程序行為���;
要說您不懂匯編也想分析分析軟件�����、網(wǎng)頁什么的���,這2款開源環(huán)境應(yīng)該夠您用了。
如果說您是資深分析人士�����,利用這些環(huán)境應(yīng)該可以大大提升分析效率�。哪怕是程序進(jìn)行了加密,行為級(jí)別的記錄也很有幫助吧��!
不過有3點(diǎn)提醒:
virtualization 是guest awareness 的��。如果惡意軟件的作者有足夠的反調(diào)試經(jīng)驗(yàn)����,則在虛擬機(jī)上運(yùn)行程序的時(shí)候��,它的行為會(huì)與在物理機(jī)上運(yùn)行的行為將不一樣����。雖然說足夠聰明的您也有足夠的手段讓程序不awared��,但是程序作弊的可能還是需要考慮�。
加密的tcp通訊幾乎不可能直接分析���。在進(jìn)行進(jìn)一步研究之前�����,還是看看程序行為再找調(diào)試點(diǎn)比較好��。例如我發(fā)在qq空間的帖子說過���,https是http+ssl,截獲ssl封裝之前的http通訊就基本夠?qū)I(yè)了—具體方法可以網(wǎng)上搜索����。當(dāng)然碰見利用SOAP的人渣還要再比他們還要人渣一點(diǎn)才能分析—話說惡意軟件一般會(huì)寫那么龐大嗎(我可不識(shí)數(shù))?
干這行的人渣比較多��,關(guān)系比較硬的也很打不死的也存在哦��。不是說你發(fā)現(xiàn)什么問題就可以公開的是不是�����?人家是老虎你還不如蒼蠅的可能性絕對(duì)存在是不是?低調(diào)比較必要是不是�����?
我聽見哪位讀著說“再傻瓜一些的傻瓜三次方的分析環(huán)境”您也需要���?哎呀��,三次元的傻瓜是啥意思來的�����?
via idf.cn
文章版權(quán)歸作者所有����,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為���,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請(qǐng)注明本文地址:http://www.ezyhdfw.cn/yun/11077.html
