動態惡意軟體分析工具介紹
在本教程中,我們將介紹動態惡意軟體分析工具,用於了解惡意軟體執行後的行為。本教程是我們惡意軟體分析教程中的第2部分。如果您尚未閱讀本系列的第1部分,請先閱讀本系列教程1,然後再繼續這一篇。
在本教程中,我們將介紹用於在虛擬機中執行惡意軟體後分析活動的動態惡意軟體分析工具。我們將分別介紹Procmon,Process Explorer,Regshot,ApateDNS,Netcat,Wireshark以及INetSim等工具來進行惡意軟體的分析。動態惡意軟體分析通常是在靜態惡意軟體分析達到死胡同後執行。例如,當惡意軟體打包或混淆時,你將很快就走到死胡同。另外動態惡意軟體分析也是快速識別惡意軟體類型的好方法,如果你面臨勒索軟體,那麼你會在執行惡意軟體後快速了解到加密文件和其強制付款方式。
必須要注意的一點是,動態惡意軟體分析很可能會使你的系統和網路面臨風險,因為你需要執行真正的惡意軟體來進而才能分析它的行為。 因此我們非常建議你僅在未連接到互聯網的隔離網路中的虛擬機或專用系統上執行惡意軟體。 惡意軟體分析工具通常不需要互聯網連接,因為其有可用於模擬互聯網連接的伺服器工具。 本文中我們將重點介紹這些工具中的幾個。 當然即使我們在虛擬機中執行惡意軟體,也不能保證主機或網路是完全安全的,因為惡意軟體開發人員總是會發現令人驚訝的新感染方式,並使惡意軟體分析更難進行下去。
01 Procmon
Procmon也被稱為Process Monitor,是一款系統進程監視軟體,總體來說,Process Monitor相當於Filemon+Regmon,其中的Filemon專門用來監視系統 中的任何文件操作過程,而Regmon用來監視註冊表的讀寫操作過程。 有了Process Monitor,使用者就可以對系統中的任何文件和 註冊表操作同時進行監視和記錄,通過註冊表和文件讀寫的變化, 對於幫助診斷系統故障或是發現惡意軟體、病毒或木馬來說,非常 有用。 這是一個高級的 Windows 系統和應用程序監視工具,由優秀的 Sysinternals 開發,並且目前已併入微軟旗下,可靠性自不用說。
Process Monitor常見功能分析:
Process Monitor 不僅結合了 Filemon(文件監視器) 和 Regmon(註冊表監視器) 兩個工具的功能,還具有以下一些增強:
監視進程和線程的啟動和退出,包括退出狀態代碼n監視映像 (DLL 和內核模式驅動程序) 載入n捕獲更多輸入輸出參數操作n非破壞性的過濾器允許你自行定義而不會丟失任何捕獲的數據n捕獲每一個線程操作的堆棧,使得可以在許多情況下識別一個操作的根源n可靠捕獲進程詳細信息,包括映像路徑、命令行、完整性、用戶和會話ID等等n完全可以自定義任何事件的屬性列n過濾器可以設置為任何數據條件,包括未在當前視圖中顯示的n高級的日誌機制,可記錄上千萬的事件,數GB的日誌數據n進程樹工具顯示所有進程的關係n原生的日誌格式,可將所有數據信息保存,讓另一個 Process Monitor 實例載入n進程懸停提示,可方便的查看進程信息n詳細的懸停提示信息讓你方便的查看列中不能完整顯示的信息n搜索可取消n系統引導時記錄所有操作n
下載地址:Process Monitor
02 Process Explorer
Process Explorer是由Sysinternals開發的Windows系統和應用程序監視工具,目前已併入微軟旗下。不僅結合了Filemon(文件監視器)和Regmon(註冊表監視器)兩個工具的功能,還增加了多項重要的增強功能。包括穩定性和性能改進、強大的過濾選項、修正的進程樹對話框(增加了進程存活時間圖表)、可根據點擊位置變換的右擊菜單過濾條目、集成帶源代碼存儲的堆棧跟蹤對話框、更快的堆棧跟蹤、可在 64位 Windows 上載入 32位 日誌文件的能力、監視映像(DLL和內核模式驅動程序)載入、系統引導時記錄所有操作等。
Process Explorer的獨特之處在於:1.顯示被執行的映像文件的完整路徑n2.顯示進程安全令牌n3.加亮顯示進程和線程列表中的變化n4.顯示作業中的進程,以及作業的細節n5.顯示運行。NET/WinFX應用的進程,以及與.NET相關的細節n6.顯示進程和線程的啟動時間n7.顯示內存映射文件的完整列表n8.能夠掛起一個進程n9.能夠殺死一個線程n
下載地址:Process Explorer
03 RegShot
RegShot 是一種註冊表比較工具,它通過兩次抓取註冊表而快速地比較出答案。它還可以將您的註冊表以純文本方式記錄下來,便於瀏覽;還可以監察 Win.ini,System.ini 中的鍵值;還可以監察您 Windows 目錄和 System 目錄中文件的變化,為您手工卸載某些軟體創造條件。
主要功能
1、可以掃描並保存註冊表的「快照」,並對兩次快照進行自動的對比,找出快照間存在的不同之處,結果可以保存成txt或者是html文檔
2、它的非壓縮版本體積為 29K,壓縮版(UPX)為 13K,在同類軟體中可謂是小巧玲瓏!
3、支持可以將您的註冊表以純文本方式記錄下來,便於瀏覽;
4、支持監察 Win.ini,System.ini 中的鍵值;
5、支持監察您 Windows 目錄和 System 目錄中文件的變化,為您手工卸載某些軟體創造條件。
使用方法
1、打開Regshot,勾選"掃描",點擊「攝取[1]」,這樣就能記錄下當前註冊表和文件夾的結構;
2、點擊「攝取[2]」進行第二次快照;
3、點擊「比較」按鈕,軟體就會自動打開記事本,把對比的結果,使用文本的方式顯示出來;
4、如果需要再次比較,需要點擊「清除」按鈕,之後再重複上述操作就行。
下載地址:regshot
04 ApateDNS
ApateDNS是一個用於控制DNS響應的工具,主要用在本地系統上的DNS伺服器。 ApateDNS可以將欺騙由惡意軟體生成的DNS請求到UDP埠53上的指定IP地址的DNS響應,比如執行靜態惡意軟體分析(例如通過檢查資源節)或使用沙箱。 ApateDNS還能夠使用NXDOMAIN參數恢復多個域,因為惡意軟體通常會嘗試連接到多個主機。
下載地址:https://www.fireeye.com/content/dam/fireeye-www/services/freeware/sdl-apatedns.zip
05 Netcat
Netcat能通過TCP和UDP在網路中讀寫數據,也被稱為網路安全中的「瑞士軍刀」,因為它提供了許多功能,比如埠掃描、埠轉發、文件傳輸、目錄傳輸等等。
Netcat是執行動態惡意軟體分析的一個偉大的工具,因為它可以滿足惡意軟體分析師所需要的幾乎所有的網路連接。它還可用於在任何埠上進行入站和出站連接,並且可以在客戶端模式下用於連接,在伺服器模式下用於偵聽。
很多惡意軟體通過埠80(HTTP)和443(HTTPS)進行通信,因為在大多數系統上,這些埠不會被防火牆阻止。當執行動態惡意軟體分析時,我們可以使用ApateDNS將由惡意軟體創建的DNS請求重定向到正在伺服器模式下運行Netcat的主機,偵聽指定埠上的指定IP地址。這樣,我們可以使用ApateDNS監視惡意軟體的請求,重定向請求和Netcat監視請求。在後續的動態惡意軟體分析教程中,我們將更詳細地介紹ApateDNS和Netcat的使用。
下載地址:Netcat for the 21st Century
06 Wireshark
Wireshark(前稱Ethereal)是一個網路封包分析軟體。網路封包分析軟體的功能是擷取網路封包,並儘可能顯示出最為詳細的網路封包資料。Wireshark使用WinPCAP作為介面,直接與網卡進行數據報文交換。
下載地址:Wireshark · Go Deep.
07 INetSim
INetSim是一個基於Linux的工具,主要用於惡意軟體分析,它可以模擬最常見的互聯網服務,如http、https、DNS、FTP以及其他的。在Windows機器上執行動態惡意軟體分析時,你可以使用和惡意軟體分析機器在同一網路中的虛擬機來運行INetSim。 INetSim能夠偽造惡意軟體可能使用的常見的互聯網服務,並回答相應的請求。例如,當惡意軟體請求文件時,INetSim將返回該文件。當惡意軟體掃描Web伺服器時,INetSim將返回Microsoft IIS Web伺服器的名稱以保持惡意軟體運行。 INetSim還將記錄所有傳入的連接,以便你可以分析惡意軟體正在使用的服務及其發出的請求。 INetSim也是高度可配置的,當惡意軟體使用非標準埠作為服務時,你可以更改INetSim中特定服務的偵聽器埠。我們將在後續的惡意軟體分析教程中更詳細地介紹INetSim。
下載地址:INetSim: Internet Services Simulation Suite
註:本文為嘶吼編輯編譯,如若轉載,請註明來自嘶吼
推薦閱讀:
※【瑾瑜·PS】介紹一款軟體,兩步操作為你解決水印的煩惱
※工具推薦 | 10款最流行的密碼破解神器
※作為 IT 從業人員,你覺得有什麼工具大大提高了你的工作效率?
※壞蛋調頻王師傅推薦了6款聲音相關工具(包括一款山寨的)| 利器專欄
TAG:工具 |