upside
 
   
  
 反病毒 反诈骗 反虐犬
|
分享:
▼
x0
|
打造病毒分析实验室
一、概述
病毒分析是一项需要技术、技巧和耐心的工作。专业人员可能先会对病毒程式进行反组译,然后花大量时间分析令人目眩且艰涩难懂的组合语言代码。然而对于我们来说也许只是想了解一下偶尔遇到的可疑档案,看看是不是病毒,有些什么样的特点,以及控制着这些病毒的主机在什么地方。要达到这个目标有没有什么简便易行的方法,不用去学太多的专业知识,就能够简单的分析病毒呢,答案是肯定的。下面就让我们开始打造自己的简单病毒分析实验室之旅吧。
二、前期准备
首先我们必须有一台性能较好的电脑。如果你的电脑连执行一个虚拟机都卡的话,建议增加记忆体,甚至提升CPU 效能
才能保证以下在虚拟机上作的工作,能正常执行。
我们需要的基本软体包括:
1、Windows 2000 以上作业系统(你的主机作业系统和虚拟机里的作业系统);
2、虚拟机软体:Vmare、Virtual PC等,任选其一。本文以Vmare 6.0为实验环境;
3、注册表监视软体:Regmon、RegSnap等,本文选RegSnap,用以监视病毒对注册表的改动;
4、文件系统监视软体:FileMon等,也可使用RegSnap所带的系统文件监视功能,用以监视木马在文件系统中的活动;
5、网路数据嗅探软体:sniffer pro、Ethereal等,本文选用Ethereal,用以截获病毒和控制端之间的数据通信。
另外如果你要分析的病毒是利用其他常用软体漏洞触发的,你还必须安装这些应用软体,如office,winrar等存在漏洞的应用软体的相应版本。
三、安装
在你的主机上安装Vmare软体,然后在其中安装作业系统(我安装的是Windows XP SP3),如果你分析的病毒是特别针对其他类型系统的,那你可能需要安装相应的作业系统,现在大部分病毒都是能在Windows XP下执行的。安装好虚拟机作业系统后,我们先不要急着连接到网路,而是先做一些设置和安装我们的分析工具,首先将虚拟机作业系统的自动更新关闭(这是为了防止分析网路数据时升级数据包造成干扰),然后安装上RegSnap和Etherea,确保正确安装完成后给虚拟机做一个快照,该快照用于在实验做完后将虚拟机系统恢复成初始状态。
四、开始分析
执行虚拟机,将要分析的病毒程式拷贝到虚拟机中,待分析的病毒可能是可执行档案,也可能是doc,swf等存在漏洞的档案,对于后者我们需要在虚拟机系统中安装上相应的存在漏洞的应用软体,如office,flash player等,这样才能保证漏洞顺利触发病毒成功执行。当然我们如果有能力的话可以将这些档案中的病毒手工分离出来,然后直接分析分离出来的病毒,这一部分知识在这里就不敷述了。接下来我们打开RegSnap和Ethereal,先用RegSnap给系统做一个完整快照,包括注册表的全部和重要系统目录。然后集中精神,开始进入监控工作的核心环节。在确保关闭了其它任何连接网路程式的前提下运行Ethereal的网路数据嗅探,紧接着执行病毒,病毒开始隐蔽的工作了,我们可以看到Ethereal已显示捕获到了一些网路数据,一般病毒在启用后会立即回连到控制端主机,这时我们就可以通过网路数据找到病毒的回连域名和IP地址。现在我们可以停止Ethereal的嗅探,然后立即通过RegSnap再次对系统做一个全面快照,到此为止病毒监控工作就算完成了,下面我们就要对刚才得到的讯息进行仔细分析了。首先对使用RegSnap做的两次系统快照进行比较,看看在病毒执行前和病毒执行后系统档案和注册表有哪些变化,如果系统目录下有新增的可执行档案,注册表中有新添加的启动项键值,那么那无疑就是病毒隐藏在系统中的程序体和自启动键值了。让我们再看看网路数据,Ethereal显示了不少刚才截获的数据包,经过分析我们可以确定其中某些可疑的连接就是病毒和控制端之间的通信。其中控制端的IP地址(使用代理则显示的是代理的IP地址)一目了然。到此,我们确定了该病毒档案的生成档案和注册表启动键值,找到了病毒回连的ip地址,通过ip地址我们可以大致确定它的地理位置。简单的病毒分析也就结束了。
五、进一步扩展
以上只是针对常见的病毒进行分析的一般环境和步骤,病毒的种类繁多,特点各异。有的病毒采用UDP、ICMP等协议进行回连和数据传输,这需要我们仔细分析所截获到的网路数据,在其中发现病毒可疑的通信数据。更有一些RootKit病毒将写入的注册表的键值、病毒档案和数据通信都隐藏起来,让我们无法使用以上工具在本机上发现任何异常。遇到这种情况,我们可以在同一网段的其他机器上安装嗅探器来监听装有病毒的虚拟主机数据,用启动盘进入虚拟机系统查找隐藏的病毒档案。这些都是我们根据具体情况要灵活采取的措施。也许有人会问我们分析病毒时不是我们的虚拟机系统被对方控制了么?我们的分析行为和IP 地址也不就暴露了么?如果你担心实验会向攻击者泄漏你的网络地址和意图,那你必须将实验环境网络与互联网断开,不过我们只要保证实验环境的局域网络是连通的,就可以通过构造DNS服务器等方式来查看病毒企图解析的回连域名和查找的控制端IP地址,虽然这样对于病毒的网络数据的分析就不能更加全面的展开了,但你的网路分析工作对于病毒控制者来说就根本察觉不到了。
|
