upside
 
   
  
 反病毒 反詐騙 反虐犬
|
分享:
▼
x0
|
打造病毒分析實驗室
一、概述
病毒分析是一項需要技術、技巧和耐心的工作。專業人員可能先會對病毒程式進行反組譯,然後花大量時間分析令人目眩且艱澀難懂的組合語言代碼。然而對於我們來說也許只是想了解一下偶爾遇到的可疑檔案,看看是不是病毒,有些什麽樣的特點,以及控制著這些病毒的主機在什麽地方。要達到這個目標有沒有什麽簡便易行的方法,不用去學太多的專業知識,就能夠簡單的分析病毒呢,答案是肯定的。下面就讓我們開始打造自己的簡單病毒分析實驗室之旅吧。
二、前期準備
首先我們必須有一台性能較好的電腦。如果你的電腦連執行一個虛擬機都卡的話,建議增加記憶體,甚至提昇CPU 效能
才能保證以下在虛擬機上作的工作,能正常執行。
我們需要的基本軟體包括:
1、Windows 2000 以上作業系統(你的主機作業系統和虛擬機裡的作業系統);
2、虛擬機軟體:Vmare、Virtual PC等,任選其一。本文以Vmare 6.0爲實驗環境;
3、注冊表監視軟體:Regmon、RegSnap等,本文選RegSnap,用以監視病毒對注冊表的改動;
4、文件系統監視軟體:FileMon等,也可使用RegSnap所帶的系統文件監視功能,用以監視木馬在文件系統中的活動;
5、網路數據嗅探軟體:sniffer pro、Ethereal等,本文選用Ethereal,用以截獲病毒和控制端之間的數據通信。
另外如果你要分析的病毒是利用其他常用軟體漏洞觸發的,你還必須安裝這些應用軟體,如office,winrar等存在漏洞的應用軟體的相應版本。
三、安裝
在你的主機上安裝Vmare軟體,然後在其中安裝作業系統(我安裝的是Windows XP SP3),如果你分析的病毒是特別針對其他類型系統的,那你可能需要安裝相應的作業係統,現在大部分病毒都是能在Windows XP下執行的。安裝好虛擬機作業系統後,我們先不要急著連接到網路,而是先做一些設置和安裝我們的分析工具,首先將虛擬機作業系統的自動更新關閉(這是爲了防止分析網路數據時升級數據包造成干擾),然後安裝上RegSnap和Etherea,確保正確安裝完成後給虛擬機做一個快照,該快照用於在實驗做完後將虛擬機系統恢複成初始狀態。
四、開始分析
執行虛擬機,將要分析的病毒程式拷貝到虛擬機中,待分析的病毒可能是可執行檔案,也可能是doc,swf等存在漏洞的檔案,對於後者我們需要在虛擬機系統中安裝上相應的存在漏洞的應用軟體,如office,flash player等,這樣才能保證漏洞順利觸發病毒成功執行。當然我們如果有能力的話可以將這些檔案中的病毒手工分離出來,然後直接分析分離出來的病毒,這一部分知識在這裏就不敷述了。接下來我們打開RegSnap和Ethereal,先用RegSnap給系統做一個完整快照,包括注冊表的全部和重要系統目錄。然後集中精神,開始進入監控工作的核心環節。在確保關閉了其它任何連接網路程式的前提下運行Ethereal的網路數據嗅探,緊接著執行病毒,病毒開始隱蔽的工作了,我們可以看到Ethereal已顯示捕獲到了一些網路數據,一般病毒在啟用後會立即回連到控制端主機,這時我們就可以通過網路數據找到病毒的回連域名和IP地址。現在我們可以停止Ethereal的嗅探,然後立即通過RegSnap再次對系統做一個全面快照,到此爲止病毒監控工作就算完成了,下面我們就要對剛才得到的訊息進行仔細分析了。首先對使用RegSnap做的兩次系統快照進行比較,看看在病毒執行前和病毒執行後系統檔案和注冊表有哪些變化,如果系統目錄下有新增的可執行檔案,注冊表中有新添加的啓動項鍵值,那麽那無疑就是病毒隱藏在系統中的程序體和自啓動鍵值了。讓我們再看看網路數據,Ethereal顯示了不少剛才截獲的數據包,經過分析我們可以確定其中某些可疑的連接就是病毒和控制端之間的通信。其中控制端的IP地址(使用代理則顯示的是代理的IP地址)一目了然。到此,我們確定了該病毒檔案的生成檔案和注冊表啓動鍵值,找到了病毒回連的ip地址,通過ip地址我們可以大致確定它的地理位置。簡單的病毒分析也就結束了。
五、進一步擴展
以上只是針對常見的病毒進行分析的一般環境和步驟,病毒的種類繁多,特點各異。有的病毒采用UDP、ICMP等協議進行回連和數據傳輸,這需要我們仔細分析所截獲到的網路數據,在其中發現病毒可疑的通信數據。更有一些RootKit病毒將寫入的注冊表的鍵值、病毒檔案和數據通信都隱藏起來,讓我們無法使用以上工具在本機上發現任何異常。遇到這種情況,我們可以在同一網段的其他機器上安裝嗅探器來監聽裝有病毒的虛擬主機數據,用啓動盤進入虛擬機係統查找隱藏的病毒檔案。這些都是我們根據具體情況要靈活采取的措施。也許有人會問我們分析病毒時不是我們的虛擬機系統被對方控制了麽?我們的分析行爲和IP 地址也不就暴露了麽?如果你擔心實驗會向攻擊者泄漏你的網絡地址和意圖,那你必須將實驗環境網絡與互聯網斷開,不過我們只要保證實驗環境的局域網絡是連通的,就可以通過構造DNS服務器等方式來查看病毒企圖解析的回連域名和查找的控制端IP地址,雖然這樣對於病毒的網絡數據的分析就不能更加全面的展開了,但你的網路分析工作對於病毒控制者來說就根本察覺不到了。
|
