小编带你去暗访 看病毒专家如何分析可疑文件
本帖最后由 hellotong88 于 2015-4-29 14:49 编辑小编带你去暗访 看病毒专家如何分析可疑文件
10-6 21:09:40
对付病毒,电脑达人们都会有自己的独门绝技,不过要说最专业的,当然还是人家安全软件公司里的病毒分析师。这些神秘人士可是深藏不露,不过为了给大家解馋,小编决定去偷偷暗访下,看看病毒分析师咋干活的,都用什么工具。对了,主要君子协定哈,不许外传哦!
进门偷拍,曝光病毒分析流程
安全软件公司的病毒样本采集主要分这么几个方面:云安全系统自动从用户客户端提取,爬虫搜寻恶意挂马网址自动下载,与同行实验室进行样本交换和用户提交。用户提交的文件比例较少,不过到最后,这些样本都要进入病毒样本分析流程。先是自动系统的处理,自动系统分析不了的再进行人工分析。就拿现在比较火的“云安全”系统来说,基本已经实现了“用户上传可疑程序样本、挂马网站→过滤、归类→分析处理→验证→升级”,这一整套处理流程的完全自动化。
在下偷偷拍了一张XX公司的病毒处理流程(见图1),杀毒软件公司只要获得新病毒样本,就可以在最短的时间内提出一个完整的病毒解决方案,用户只要及时关注该公司发布的病毒信息,采取适当措施,就可以少受病毒的干扰。
瞅瞅他们的办公桌
说着,说着,小编就到了他们的办公桌,本以为会是特别NB的设备,没想到稀松平常,而且电脑还不如我们的好呢!为什么?因为他们的电脑大多不能上网,大多是相对隔离的,反病毒工作人员的工作平台主要以虚拟机为主,将所捕获的病毒放入虚拟机中进行测试和分析。
一般的流程如下:
第一步:病毒行为分析:对上报或者捕获的病毒进行行为分析,看看这些病毒运行后对注册表进行了一些什么操作,病毒在系统中创建了哪些文件,调用了哪些函数,访问了哪些网络。
小提示:这时病毒分析师要进行几个步骤:打开注册表监视器→打开文件监视器→打开API监视器→打开网络监视器→运行病毒→查看并分析各个监视器监视日志→行为分析总结报告。
第二步:对病毒文件的分析:病毒文件的分析首先需要做基本的文件分析,让其进行脱壳并获取其原始编码后的文件,最后是PE文件温习,查看文件是否捆绑其他文件,了解动态库和函数的调用等。
第三步:借助工具解决:病毒分析的工具很多,基本分析工具UltraEdit、Winhex,自解压工具UPX、ASPACK,查看磁盘主引导信息DiskEdit,PE文件基础分析工具PE Explorer,文件监控工具Filemon,注册表监控工具regsnap,网络截包工具Iris等。
小提示:本文中所用到的工具,大家可以从http://work.newhua.com/cfan/200924/bdfx.rar下载工具包,工具都在里面了。另外,看雪论坛有很多好工具,一并推荐给大家,访问地址为http://www.pediy.com/tools/spy.htm。
亲身经历病毒分析案例
小编待了半天,为了获得真实资料,决定继续蹲点观察。等了一小时后,小张终于来工作了,他要分析一个自动处理系统不能确定的样本。好了,来看他如何工作的,小编,记得很累哦!
第一步:运行虚拟机做一个快照
启动虚拟机,并将可疑文件“拖入”虚拟机中。使用PEid v0.94直接查看可疑文件的外壳。双击PEid v0.94程序打开其主界面,将可疑文件svcr.exe拖入程序界面中(见图2),可以看到文件使用FSG2.0加壳的。
小提示:木马病毒在编写完成后都会通过一些特殊软件(加壳软件)进行处理,加上所谓的防护层也即“加壳”,杀毒软件如果无法剥离木马病毒外面的防护层,木马病毒也就躲过查杀,也被称之为“免杀”。
第二步:使用FSG脱壳软件脱壳。
对于普通的木马病毒脱壳很简单,找到相应的脱壳软件,使用脱壳软件打开“可疑”软件,如果脱壳没有出现意外,将脱壳后的文件保存即可。双击UnFSG2.1.exe可执行程序,单击“浏览文件”选择病毒文件svcr.exe,然后单击“解压缩”,如图3所示,脱壳工具软件UnFSG2.1会自动对可疑文件svcr.exe进行脱壳,脱壳成功后会自动弹出一个文件保存窗口,将该文件保存为222,最后重新命名222为222.exe即可,该文件即为脱壳后的木马病毒文件。
小注意:在脱壳保存是随便输入一个名字都可以,但不要加后缀名称exe,否则会报错。现在网上很多挂羊头卖狗肉的站点,表面上提供某一个软件的下载,实际下载的软件是木马病毒或者是推广软件,因此在下载软件时一定要注意,尽量到一些正规网站下载,下载完毕后使用杀毒软件先查杀。
第三步:使用PE Explorer反汇编分析。
直接运行PE Explorer软件,单击“文件→打开文件”打开脱壳后的文件222.exe,可以看到该木马病毒的文件头信息,不用管这些信息,再单击“工具→反汇编”对该程序进行反汇编,在反汇编时会弹出一个设置窗口,选择默认设置,单击“立即开始”按钮,开始进行反汇编,反汇编结束后PE Explorer会自动进行整理,如图4所示,选择下方的“字符串”标签,在该标签下汇集了该可疑程序被反汇编后的所有字符串,木马病毒的很多奥妙就在这些字符串中。
在字符串窗口中每选中一条字符串记录,就会在上面的上面的汇编窗口显示相应的汇编代码,在这些字符串记录中木马病毒的一些注册表、文件路径、文件名称等信息全都包含在这个里面,这就是奥妙所在,只要掌握了这些信息,病毒也就无从藏身了,小编这才恍然大悟,毒林秘诀啊,赶快记下!
在PE Explorer字符串窗口的0040638处,可以获取很多敏感的字符串,比如程序运行,启动的方式,释放到磁盘的具体位置(见图5),可以清楚看到该键值是可疑文件的注册表加载位置。
对一些关键的信息进行收集整理:
程序启动位置:
插件安装位置:
编号004067B0:
编号0040670C:
编号00406780:可以文件释放后的名称和路径:C:\windows\svcr.exe
第四步:运行“可疑文件”从整理的行为进行验证。打开注册表,果然找到了启动项、特殊键值和svcr.exe文件。那么证明前面的分析正确,现在可以编写清除脚本,删除可疑文件在注册表中增加的键值,删除病毒释放的程序,并更新病毒库。
小提示:以上是病毒分析的一个简单例子,对于病毒的分析并不像想象中的那么难,在实际分析过程中,还可以使用UltraEdit和Winhex的二进制模式直接编辑查看,从中能够获取很多有用的信息。
遇见BOSS赶紧撤 临别赠言
正在暗访中,忽听一哥们说,老板来了,这可吓坏了暗访的小编,赶紧隐蔽起来,等待时机撤离现场。等待之余,我也给大家要点礼物吧。实验室里的杀毒软件到处是,不过不好带,倒是笔者在一个角落里捡到一个小闪盘,带了回来,发现原来是一个工具软件,号称“黑镜头”,天哪!这就是他们的内部工具吗?运行一看,果不其然,通过它,我也能方便地进行病毒分析了,欲知详情,请登录http://tinyurl.com/yl6q84q,《“黑镜头”助你分析可疑病毒》。
本文版权属于电脑爱好者网站(cfan.com.cn),转载请注明出处。http://app.cfan.com.cn/?app=article&controller=article&action=show&contentid=23775
24K灬纯帅 发表于 2015-4-29 11:54
像我这么懒的人都是直接上传到 火眼or哈勃的
哈哈,专业人士才那么干 /200924/bdfx.rar 看了这个觉得这篇文章应该有点历史了。
现在看瑞文分析那些用SSF多。 像我这么懒的人都是直接上传到 火眼or哈勃的{:301_997:} 没图你说个球 no picture,you say a **
无图无真相 我看过去看了,原文的图片已经没有了。那软件包地址我也没打开 很久很久以前得了吧。 不知道这算不算推广啊。 {:17_1058:}既然大多不能连网,那还抓包分析连网数据小编你逗我
页:
[1]
2