理论教育 动态分析恶意软件:信息安全基础

动态分析恶意软件:信息安全基础

时间:2023-11-24 理论教育 版权反馈
【摘要】:利用动态分析工具检测恶意软件。动态分析是在一个受监视的环境中执行可疑程序,以观察其行为的过程。动态分析通常需要借助相应的工具来实现。这里仅简要介绍工具Process Monitor在恶意软件分析中的基本操作。单击Add按钮,表示仅监视Virus.exe进程,如图4-13所示。图4-12设置Process Monitor过滤器图4-13设置Process Monitor过滤器图4-14Process Monitor窗口仅显示Virus.exe的活动图4-15Process Monitor窗口仅显示Virus.exe的文件活动图4-16Virus.exe修改了notepad.exe文件图4-17notepad.exe文件长度增加了

动态分析恶意软件:信息安全基础

利用动态分析工具检测恶意软件。动态分析是在一个受监视的环境中执行可疑程序,以观察其行为的过程。这种技术能够快速地告诉你恶意程序创建了什么文件、添加哪些注册表项,以及所联系的网站等信息。动态分析通常需要借助相应的工具来实现。这里仅简要介绍工具Process Monitor在恶意软件分析中的基本操作。

Process Monitor是一种基于API钩子和通知例程的变化检测工具。它可以记录与文件系统、注册表、网络、进程、线程有关的活动的详细信息。Process Monitor通过:① 加载一个内核驱动程序来拦截某些函数的调用;② 使用Windows事件追踪(ETW)机制来捕获网络活动;③ 使用通知例程来监视进程和线程的活动。

要监视可疑的程序,你应该在一个封闭的环境中运行它,以避免它感染正常的系统。常用的做法是使用虚拟机作为封闭的环境。操作过程如下:

(1)在VMware Workstation启动一台Windows 7虚拟机,把可疑的程序和Process Monitor复制进去。

(2)在虚拟机中先启动Process Monitor,如图4-11所示。其窗口中显示的是它捕获的各种事件。

图4-11 Process Monitor主界面

(3)运行可疑程序。作为演示,我们使用了一个模拟的恶意程序,名字叫作Virus.exe。在虚拟机中运行该程序。

(4)单击Process Monitor界面中的Filter工具,显示过滤设置窗口,如图4-12所示。将Architecture改为Process Name,然后单击文本输入框右侧的下箭头按钮,选择Virus.exe。单击Add按钮,表示仅监视Virus.exe进程,如图4-13所示。

(5)单击“OK”按钮,此时Process Monitor窗口中只显示Virus.exe的有关活动,如图4-14所示。可以放大窗口以显示更多信息,也可以单击通过窗口右边的4个按钮,选择性地查看特别关心的事件,如这个程序在文件系统中的活动,如图4-15所示。经分析发现,这个程序尝试修改系统文件夹System32下的多个dll文件,但未成功。但是它成功感染了和它位于同一个文件夹下的Windows的记事本程序notepad.exe,如图4-16和图4-17所示,使这个程序文件的大小从189 KB增加到193 KB。

图4-12 设置Process Monitor过滤器(1)(www.daowen.com)

图4-13 设置Process Monitor过滤器(2)

图4-14 Process Monitor窗口仅显示Virus.exe的活动

图4-15 Process Monitor窗口仅显示Virus.exe的文件活动

图4-16 Virus.exe修改了notepad.exe文件

图4-17 notepad.exe文件长度增加了

免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。

我要反馈