一、靜態分析基礎技術
1、可通過用軟件計算惡意程序MD5值,然后檢索該MD5值來獲取信息並作為標簽使用 【md5deep winmd5】
2、通過檢索惡意代碼字符串獲得相應的功能調用解釋、功能行為及模塊調用。當可檢索字符串非常少時,有可能被加殼處理,(注意"LoadLibrary"和"GetProcAddress"兩個字符串,它們是用來加載或調用其他函數功能的),此時需要用外殼檢測工具進行檢測、脫殼處理 【字符串檢索:Strings 外殼檢測:PEiD】
3、PE文件頭中包含代碼信息,惡意代應用程序類型,所需庫函數與空間要求,非常有用。可通過工具檢索其動態鏈接庫(函數),然后再MSDN文檔庫中查找其功能。【動態鏈接(庫)函數檢索:Dependency Walker、 PEview、 PEBrowse Professional、PE Explorer】
4、查看可疑代碼的的資源節來獲得一部分可見的特征,如圖標、菜單界面、代碼版本等【Resource Hacker(可將嵌入文件提取出來)】
二、動態分析基礎技術
1、配置“沙箱”環境,模擬真實執行結果【Norman沙箱、GFI沙箱、Joe沙箱、ThreatExpert、BitBlaze、Comodo惡意代碼分析】(以GFI為例)
??***沙箱的缺點***
沙箱只能自動簡單的運行可執行程序,對待需要提供命令行參數或需要特定條件的后門程序,將無法被啟動和分析,可能無法得出測試結果,還有可能與操作系統,文件調用等因素有關聯,導致不能完整的甚至准確的得到分析結果。
******************************
2、Dll類型文件的啟動運行
windows命令行環境下用rundll32.exe程序調用,格式如下:
"rundll32.exe DllName,Export arguments"
*DllName:Dll文件名*
*Export:一個Dll文件導出函數表中的函數名或序號,通過工具查看【PEview、PE Exporer】
3、對運行起來的惡意代碼,可以用一些系統監視類軟件捕獲其系統調用,從捕獲的信息中就可以得到其對注冊表,文件讀寫等一系列操作,便於進一步分析,【process monitor、process explorer、regshot】
4、必要的時候,需要從本機模擬出一個虛擬的網絡應答來響應惡意代碼的網絡訪問,監控其網絡動態,從而了解網絡相關特性【Apate Dns(檢測惡意代碼的域名訪問)、netcat(網絡監聽)、wireshark嗅探器、INetSim(模擬網絡服務,linux環境)】
基礎分析技術主要是一些基礎工具的應用,從最基本的字符串及基本行為分析入手,做最基礎的行為分析概述,然后對行為梗概運用高級分析技術予以分析及驗證,高級分析技術包括動態和靜態分析兩個方面,會在以后的總結中予以提出。