怎樣快速分析惡意代碼
責編:admin |2015-01-20 14:31:54先說說硬件:
條件允許的情況下,2條不同網絡運營商提供的線路,2臺或以上的電腦,具體配置自己感覺滿意就行
雖然用虛擬機也可以,但難免某些惡意代碼有虛擬機檢測機制,所以能用真機就盡量用了
接下來是必備軟件:
Windows XP(別嫌棄老,老有老的好處,輕便+省事)
IDA Pro(雖然市面上還有別的反匯編工具,一是因為IDA強大,二是因為反病毒行業必備,如果哪位兄弟非要用別的,面試時被BS千萬別說沒提醒過。另外 Hex-rays的反編譯插件確實很強大,但是太貴了沒閑錢買,另一方面養成自己動手豐衣足食的好習慣后其實也不差那個插件)
OllyDbg(同上,行業必備。但說實話,個人很少用,不是說它不好,而是IDA的注釋太重要了,能靜態IDA的絕不調試,即便實在要調試,能用IDA自帶的調試器搞定的就直接搞定了,實在不行再換Olly)
WinDbg(同上,行業必備,調試驅動利器。和前者一樣,個人很少用,也不是說它不好,只不過大多驅動直接用IDA靜態也就夠了)
Wireshark(截數據包必備利器。和前者一樣,個人很少用,也不是說它不好,只是分析時我很少會真讓惡意代碼徹底跑起來,有需要或是靜態逆出來,或是直接從調試器里抓出來了)
還有幾款小軟件,個人比較喜歡,但不是必須的
010 Editor
DeDe
Ghost
Hiew
LordPE
WinHex
除此之外還需要一些監測小軟件,其實有很多免費的或共享的,但出于減少被惡意代碼忽悠的考慮,所以個人覺得能寫的還是自己寫好,就算不能寫,也盡量選個不知名的。
系統變化監測
API監測
Rootkit監測
其他用于測試的備用軟件:
各類服務器(HTTP, SMTP, FTP, IRC等等)
各類常見IM(QQ,MSN,YAHOO等等)
Microsoft Office(各個版本的安裝文件)
Adobe Acrobat Reader(各個版本的安裝文件)
Adobe Flash Player(各個版本的安裝文件)
最后提一下惡意代碼樣本的基本分析流程(不包含特征碼提取):
1. 恢復系統鏡像(避免在已感染的環境下被其他信息誤導)
2. 快速查看是否有可疑字符串
3. 快速查看代碼入口地址是否有被感染痕跡
4. 運行,監測并記錄系統變化以確定是否是惡意代碼
5. 如果需要的話,用IDA靜態分析
6. 如果需要的話,寫一些輔助腳本或代碼協助分析
7. 如果需要的話,用調試器調試
8. 如果需要的話,對相關域名,服務器,郵件地址等做背景調查
9. 文檔化相關內容
10. 備份所有相關文件
當然,對于在殺軟工作的朋友來說,通常還會需要提取特征碼(一般是在靜態分析之前),也可能會需要寫修復工具,但那些工作細節不同公司會有不同的要求和流程,這里就不多做討論了。
下一篇:oracle 備份和恢復