网络安全应急响应-恶意代码分析技术
网络安全应急响应专题文章:
1. 网络安全应急响应-日志分析技术
2. 网络安全应急响应-流量分析技术
3. 网络安全应急响应-恶意代码分析技术
4. 网络安全应急响应-终端检测与响应技术
5. 网络安全应急响应-电子数据取证技术
6. 网络安全应急响应-常用工具
7. 网络安全应急响应-基础技能
一 、恶意代码概述
1. 恶意代码简述
恶意代码(Malicious Code)或恶意软件是指没有作用却会带来危险的代码,一个最广泛的定义是把所有不必要的代码都看作是恶意的,不必要的代码比恶意代码具有更宽泛的含义,包括所有可能与某个组织安全策略相冲突的软件。
2. 病毒
病毒是一段自我复制的代码,它将自己依附到其他的程序上,进行传播时经常需要人的参与,主要特点:
- 一般不能作为独立的可执行程序运行。
- 可自我复制。
- 携带有害的或恶性的动作,能够破坏数据信息。
- 病毒的感染
病毒的感染机制和目标包括感染可执行文件、感染引导扇区、感染文档文件和感染其他目标,其中,感染可执行文件的技术又包括伴侣感染技术、改写感染技术、前置感染技术和附加感染技术。
- 感染可执行文件的伴侣感染技术
当用户请求执行源程序文件时,操作系统会同时启动病毒程序。 - 感染可执行文件的改写感染技术
改写感染技术是通过改写宿主的部分代码来感染可执行文件,当用户试图打开可执行文件时,执行的不是原来的文件,而是病毒代码。 - 感染可执行文件的前置感染技术
前置感染技术是通过将自身代码插入到被感染程序的头部,并不破坏宿主程序。 - 感染可执行文件的附加感染技术
附加感染技术(后置感染技术)是将自身代码插入到被感染程序的尾部,同样不破坏宿主程序。 - 感染引导扇区
感染引导扇区是一种在BIOS之后,系统引导时出现的病毒,它先于操作系统,依托的环境是BIOS中断服务程序。 - 感染文档文件
感染文档文件的常见病毒是宏病毒。Word-Normal.dot为定义的一个共用的通用模板,里面包含了基本的宏。只要启动Word,就会自动运行Normal.dot文件。
- 病毒的传播
病毒的传播一般需要人的参与,包括移动存储设备、网络共享、网络下载、电子邮件等方式。 - 病毒的启动
- 启动项启动
启动项启动直接把恶意程序放到启动文件中。这种方式已经很少用到了,但U盘病毒等仍采用此方式启动。 - 注册表启动项
主要位置有:
计算机\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
计算机\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\CurrentVersion\Run - 服务启动
服务启动在远控木马中用得最多,可以用“services.msc”或“msconfig.exe”进行查看。 - 捆绑启动
捆绑启动是把恶意程序跟正常程序捆绑到一起,不会修改目标程序,可绕过程序自身的CRC校验,相当于WinRAR压缩。 - DLL方式
DLL方式通常有三种:第一种是单独编写的DLL文件,通过注册表的Run键值“rundll32.exe”启动,隐蔽性差。第二种是替换系统合法的DLL文件,遇到应用程序请求原来的DLL文件时,病毒DLL进行转发,隐蔽性好。第三种是远程注入DLL,用一个exe程序将病毒DLL加载至某些系统进程(如Explorer.exe)中运行,用户清除困难。 - 感染可执行文件
感染可执行文件可在头部、尾部插入代码,也可在文件空隙处插入代码,文件的大小不变,很难被发现。 - 加载sys驱动文件
加载sys驱动文件可调用Hook Apl函数,隐藏自身,从而绕过主动防御。 - 写入硬盘MBR
引导扇区由主引导记录MBR和硬盘分区表组成,MBR先判断哪个分区被标记为活动分区,然后再去读取那个分区的启动区,并运行该区中的代码。
- 病毒的隐藏与自我保护
- 映像劫持技术(IFEO)
IFEO的本意是为一些在默认系统环境中运行时可能引发错误的程序执行体提供特殊的环境设定,系统厂商之所以会这么做,是有一定历史原因的。在WindowsNT时代,系统使用一种早期的堆(Heap,由应用程序管理的内存区域)管理机制,使得一些程序的运行机制与现在的不同,而后随着系统更新换代,厂商修改了系统的堆管理机制,通过引入动态内存分配方案,让程序对内存的占用更为减少,在安全上也保护程序不容易被溢出,但是这些改动却导致了一些程序从此再也无法运作,为了兼顾这些出问题的程序,微软公司以“从长计议”的态度专门设计了“IFEO”技术,其本意不是“劫持”,而是“映像文件执行参数”。 - 进程守护
进程守护指多个进程相互保护,文件关联。不同的病毒进程会不间断地检测对方是否已经被清除,如果一个病毒进程被消除,另外的病毒进程就会重新创建对方。 - 免杀技术
免杀技术Anti Anti-virus,即反杀毒技术,简称“免杀”,它指的是一种能使病毒木马免于被杀毒软件查杀的技术,如加壳、加花、修改特征码等。
3. 蠕虫病毒
蠕虫是一种常见的计算机病毒,是无须计算机使用者干预即可运行的独立程序,它通过不停地获得网络中存在漏洞的计算机上的部分或全部控制权来进行传播。它跟病毒最大的区别是不需要用户交互,可自动传播。
- 较强的独立性
计算机病毒一般都需要宿主程序,病毒将自己的代码写到宿主程序中,当该程序运行时先执行写入的病毒程序,从而造成感染和破坏。 - 利用漏洞主动攻击
由于不受宿主程序的限制,蠕虫病毒可以利用操作系统的各种漏洞进行主动攻击。 - 传播速度更快
蠕虫病毒比传统病毒具有更大的传染性,它不仅仅感染本地计算机,而且会以本地计算机为基础,感染网络中所有的服务器和客户端。蠕虫病毒可以通过网络中的共享文件夹、电子邮件、恶意网页,以及存在着大量漏洞的服务器等途径肆意传播。 - 更好的伪装和隐藏方式
为了使蠕虫病毒在更大范围内传播,病毒的编制者非常注重病毒的隐藏方式。在接收、查看电子邮件时,用户都采取双击打开邮件主题的方式来浏览邮件内容,如果该邮件中带有病毒,计算机就会立刻被病毒感染 - 技术更加先进
些蠕虫病毒与网页脚本相结合,利用VBScript、Java、ActiveX等技术隐藏在HTML页面里。当用户上网浏览含有病毒代码的网页时,病毒会自动驻留在内存并伺机触发。 - 追踪变得更困难
当蠕虫病毒感染了大部分系统之后,攻击者就能发动多种其他攻击方式对付一个目标站点,并通过蠕虫网络隐藏攻击者的位置,要抓住攻击者是非常困难的。
4. 木马病毒
木马病毒是特指一种基于远程控制的黑客工具,其实质是一种C/S结构的网络程序。特洛伊木马程序表面看上去具有一些很有用的功能,实际上隐藏着可以控制整个计算机系统、打开后门、危害系统安全的功能,它通过各种诱惑骗取用户信任,在计算机内运行后,可造成用户资料的泄露、系统受控制,甚至导致系统崩溃等。它通常的功能具有远程文件操作、远程控制、键盘记录、开启摄像头、执行系统命令等。
在传输过程中,木马病毒通常会使用HTTP协议、UDP协议、ICMP协议和POP3等协议。
- NTFS交换数据流技术
在NTFS文件系统中存在着NTFS交换数据流(Alternate Data Streams,ADS),这是NTFS磁盘格式的特性之一,是为了和Mac的HFS文件系统兼容而设计的,它使用资源派生(Resource Forks)来维持与文件相关的信息。在NTFS文件系统下,每个文件都可以存在多个数据流,除主文件流(Primary data Stream)之外还可以有许多非主文件流。主数据流在文件创建的同时就被创建,能够直接看到,而非主文件流寄宿于主文件流中,无法直接读取。绝大部分情况下用户只会与主数据流打交道,查看文件内容时也仅仅显示主数据流的内容,因此从用户角度来说,非主文件流是隐藏的,用常规的dir命令和Windows文件资源管理器都查不到。 - 远程线程插入
线程插入也叫远程线程技术是指将自己的代码插入正在运行进程中的技术。通过在另一个进程中创建远程线程的方法进入那个进程的内存地址空间,事先把要执行的代码和有关数据写进目标进程,然后创建一个远程线程来让远端进程执行那些代码。 - 端口复用技术
在Winsock的实现中,对于服务器的绑定是可以多重绑定的,在确定多重绑定使用谁时,根据谁的指定最明确则将包递交给谁的原则,而且没有权限之分,也就是说,低级权限的用户是可以重绑定在高级权限(如服务启动)端口上的。 - 多线程保护技术
在Windows操作系统中引入了线程的概念,一个进程可以同时拥有多个并发线程。三线程技术就是指一个恶意代码进程同时开启了三个线程,其中一个为主线程,负责远程控制的工作。另外两个辅助线程是监视线程和守护线程,其中监视线程负责检查恶意代码程序是否被删除或被停止自启动。 - 反向连接技术
防火墙对于外部网络进入内部网络的数据流有严格的访问控制策略,但对于从内网到外网的数据却疏于防范。反向连接技术指被恶意代码攻击的被控制端主动连接控制端。
5. Rootkit
Rootkits最早是一组用于UNIX操作系统的工具集。这些程序在植入系统后,Rootkits会将它们隐藏起来,包括任何恶意程序过程、文件夹、注册码等。
Rootkit使用的3种技术分别是Hooking、DLL注入和直接内核对象操纵。
- Hooking
- IAT和EAT Hooking
- 内联Hooking
- SSDT Hooking
- 内核态内联Hooking
- IDT Hooking
- INT 2E Hooking
- 快速系统调用Hooking。
- DLL注入
- Appinit_DLL键值
- 全局Windows Hook
- 线程注入
- 直接内核对象操纵
- 直接内核对象操纵是恶意软件使用的最高级的Rootkit技术。这个技术集中在修改内核结构,以绕过内核对象管理器来避免访问检查。
二 、Windows恶意代码分析
1. 前置知识
- 关于进程和子进程
进程(Process)是一个具有一定独立功能的程序关于某个数据集合的运行活动,是系统进行资源分配和调度的基本单位,它是操作系统结构的基础。进程是程序执行的一个实例。每个进程都拥有独立的地址空间,进程下面又有子进程。
比如子进程“notepad++.exe”的父进程就是“uTools.exe”,因为notepad++是使用uTools快速启动的。
- 关于内核和钩子
内核是操作系统最基本的部分。它是为众多应用程序提供对计算机硬件安全访问的部分软件,这种访问是有限的,并且内核决定一个程序在什么时候对某部分硬件操作多长时间。
Windows中的窗口程序是基于消息,由事件驱动的,在某些情况下可能需要捕获或者修改消息,从而完成一些特殊的功能。对于捕获消息而言,无法使用IAT或Inline Hook之类的方式去进行捕获,这就要用到Windows提供的专门用于处理消息的钩子(Windows Hook)。按照钩子作用的范围不同,又可以分为局部钩子和全局钩子,其中,全局钩子具有相当大的功能,几乎可以实现对所有Windows消息的拦截、处理和监控。局部钩子是针对某个线程的,而全局钩子则是作用于整个系统中基于消息的应用。全局钩子需要使用DLL文件,实现相应的钩子函数。
2. 利用杀毒软件排查
- 杀毒软件
- 360杀毒
- 卡巴斯基
- 腾讯电脑管家
- 火绒安全
- 奇安信天擎
- 在线杀毒引擎
- 奇安信文件深度分析平台
- VirusTotal
- hybrid
- jotti
- 微步在线云沙箱
- 魔盾安全分析
- 腾讯哈勃分析系统
- VirSCAN
- 利用工具排查
- 火绒剑
- Process Explorer
- Autoruns
- TCPview
- PCHunter
- Sysinternals Suite
三 、Linux恶意代码排查
1. Chkrootkit工具
Chkrootkit是一款用于UNIX/Linux系统的本地 Rootkit检查工具,官网,可使用命令“wget-cfp:/fp.pangea.com.br/pub//seg/pac/chkrootkittar.gz”进行下载,主要功能:
- 检测是否被植入后门、木马、 Rootkit等病毒
- 检测系统命令是否正常
- 检测登录日志
下载
安装
运行
如果有异常,会报出“INFECTED”字样。
2. Rkhunter工具
Rootkit Hunter结果比Chkrootkit更为详细和精准,若有条件,建议使用RootkitHunter对系统进行二次复查。
RootkitHunter官方网址
RootkitHunter下载网址
主要功能:
- 系统命令(Binary)检测,包括Md5校验
- Rootkit检测
- 本机敏感目录、系统配置、服务及套件异常检测
- 第三方应用版本检测
安装
运行
检测结果中,标红的“warning”需要注意,检测报告默认在“/var/log/rkhunter.log”中。
网络安全应急响应-恶意代码分析技术相关推荐
- 网络安全应急响应-电子数据取证技术
网络安全应急响应专题文章: 1. 网络安全应急响应-日志分析技术 2. 网络安全应急响应-流量分析技术 3. 网络安全应急响应-恶意代码分析技术 4. 网络安全应急响应-终端检测与响应技术 5. 网络 ...
- 实验四恶意代码分析技术 201421430029
学 号:201421430029 中国人民公安大学 Chinese people' public security university 网络对抗技术 实验报告 实验四 恶意代码技术 ...
- 网络安全应急响应-终端检测与响应技术
网络安全应急响应专题文章: 1. 网络安全应急响应-日志分析技术 2. 网络安全应急响应-流量分析技术 3. 网络安全应急响应-恶意代码分析技术 4. 网络安全应急响应-终端检测与响应技术 5. 网络 ...
- 网络安全应急响应-基础技能
网络安全应急响应专题文章: 1. 网络安全应急响应-日志分析技术 2. 网络安全应急响应-流量分析技术 3. 网络安全应急响应-恶意代码分析技术 4. 网络安全应急响应-终端检测与响应技术 5. 网络 ...
- 信安教程第二版-第14章恶意代码防范技术原理
第14章恶意代码防范技术原理 14.1 恶意代码概述 261 14.1.1 恶意代码定义与分类 261 14.1.2 恶意代码攻击模型 262 14.1.3 恶意代码生存技术 263 14.1.4 恶 ...
- 信安软考 第十七章 网络安全应急响应技术原理与应用
一.网络安全应急响应概述 网络安全应急响应是指为应对网络安全事件,相关人员或组织机构对网络安全事件进行监测.预警. 分析.响应和恢复等工作 网络安全应急响应是网络空间安全保障的重要机制,<中华人 ...
- 网络安全应急响应技术实战指南
文章转载:https://github.com/meirwah/awesome-incident-response/blob/master/README_ch.md 用于安全事件响应的工具与资源的列表 ...
- 信息安全-网络安全应急响应技术原理与应用(二)
一.网络安全应急响应技术与常见工具 1.1 网络安全应急响应技术概况 网络安全应急响应是一个复杂的过程,需要综合应用多种技术和安全机制 在网络安全应急响应过程中,常用到的技术如表所示 应急响应常用技术 ...
- 【第17章】网络安全应急响应技术原理与应用( 软考: 信息安全工程师) --学习笔记
第17章 网络安全应急响应技术原理与应用 17.1 网络安全应急响应概述 居安思危,思则有备,有备无患.网络安全应急响应是针对潜在发生的网络安全事件而采取的网络安全措施. 17.1.1 网络安全应急响 ...
- 《网络安全应急响应技术实战指南》知识点总结(第1~2章 网络安全应急响应概述和基础技能)
一.应急响应概念 一个组织为应对各种意外事件的发生所做的准备,以及在时间发生之后所采取的措施,以减少突发事件造成的损失. 二.应急响应流程 PDCERF方法: 准备阶段(预防) 检测阶段(检测已发生或 ...
最新文章
- golang float64 保留2位小数
- python安装失败0x80070570_固态硬盘装win7出现错误代码0x80070570怎么办
- python frombuffer_numpy.getbuffer和numpy.frombu
- 该终端已停用_宣杭老线停用,勾庄、三墩、仓前、老余杭、瓶窑三千多亩地待开发...
- 一道携程SQL笔试题
- 产品经理面试题(面试经历)
- 微信公众号教程(1)微信公众账号注册、设置、登陆
- 评估分形指数和HURST指数预测金融时间序列的能力
- SQL中Date 函数
- Q1营收不及预期,高通还能带着“标准”称霸5G吗?
- Codeforces869B The Eternal Immortality
- (第二章)OpGL超级宝典学习:创建我们第一个OpenGL程序,绘制一个点和三角形
- 基于遗传算法优化的BP神经网络
- Android 耳机检测原理介绍
- 从telnet www baidu com 80来玩一下http
- linux屏幕亮度调整命令,linux下调节笔记本屏幕亮度方法-涉及命令lspci, setpci (转载)...
- 使用C++访问Google API
- Cordova项目IphoneX适配,结合BUI前端框架项目(需要修改原生代码)
- display显示属性理解
- ZooKeeper : Curator框架Znode、ACL API介绍