Windows惡意軟體分析 基於感染主機的特徵

2021-10-05 23:27:10 字數 2192 閱讀 3960

利用procmonitor檢測 opertion->creatfile \readfile

常用的函式包括:

createfile開啟或者建立乙個檔案,根據dwcreationdisposition標記來確定建立檔案還是開啟檔案

readfile讀取檔案內容

writefile寫內容到檔案

通常有這些函式呼叫,可能會存在快取檔案或者建立配置檔案等行文,可以作為主要的特徵判斷。

命名規則:伯克利相容套接字

ws2_32.dll 主要包括了socket通訊的apisocket connect bind listen accept send recv

?wininet.dll是http,ftp協議的庫,包括了

internetopen初始化乙個網際網路的連線

internetopenurl放乙個url位址

通常網路類的api呼叫在使用前需要呼叫wsastarup函式設定網路的一些資源分配,可以在這個函式中設定斷點來定位網路的呼叫。

利用procmonitor檢測 opertion->regsetvalueex|regopenkeyex

惡意**嘗試用登錄檔來完成持久化駐留或者儲存配置資訊。

regopenkeyex開啟乙個登錄檔進行編輯和查詢。

regsetvalueex新增乙個新值到登錄檔,並設定值。

reggetvalue返回登錄檔中乙個值項的數值。

用於自啟動的鍵 hkey_local_machine\sofetwate \microsoft\windows\currentversion\run

使用proces***plore來檢視相關程序的互斥量建立。選中要檢視的程序 --> view-->view handle就能看到

通常惡意程式會訪問同乙個資源檔案,為了保證執行緒安全需要建立乙個互斥量來控制線程的安全同乙個時刻只會執行乙個程式例項。

createmutex建立乙個給定名稱的互斥量

openmutex獲取乙個指定的互斥量

通過建立服務的方式來完成駐留。

openscmanager返回乙個服務控制管理器的控制代碼,被用來進行所有後續與服務相關的函式呼叫

createservice新增乙個服務到服務控制管理器內,並允許是否在系統引導時啟動還是需要手動啟動的方式

startservice啟動 乙個服務,這個主要用服務在建立時被指定為手動啟動方式常用。

服務類鍵值

hklm\systerm\currentcontrolset\services下包括了很多的服務

查詢相關服務資訊

為了能清楚服務的詳細資訊,例如啟動方式,型別等,通過如下命令

sc qc "服務名稱"

## 查詢vmware nat service

λ sc qc "vmware nat service"

[sc] queryserviceconfig 成功

service_name: vmware nat service

type : 10 win32_own_process

start_type : 2 auto_start

error_control : 1 normal

binary_path_name : c:\windows\syswow64\vmnat.exe

load_order_group :

tag : 0

display_name : vmware nat service

dependencies : vmnetuserif

service_start_name : localsystem

通常在分析的時候,重點需要關注以上的資訊來判斷基於主機的感染特徵,後續遇到了在繼續更。

什麼是惡意軟體分析?定義和概述惡意軟體分析過程

惡意軟體分析是了解惡意軟體如何運作以及給定惡意軟體的任何潛在影響的過程。惡意軟體 可以根本不同,知道惡意軟體可以具有許多功能是必要的。這些可能以病毒,蠕蟲,間諜軟體和特洛伊木馬的形式出現。每種型別的惡意軟體在使用者不知情或未授權的情況下收集有關受感染裝置的資訊。用於惡意分析的案例 計算機安全事件管理...

惡意軟體分析實踐指南 解剖惡意軟體 PDF格式

惡意軟體分析是大生意,並攻擊可以成本公司損失慘重。當惡意破壞你的防守,你需要採取迅速 目前的感染和防止未來危機的發生。對於那些誰想要保持在最新的惡意軟體,實用的惡意軟體分析會教你使用的工具和技術,由專業人士。以此為您的旅遊手冊,你將能夠安全地分析,除錯,和拆卸任何惡意軟體的方式來。您將學習如何 建立...

如何利用基於雲的沙箱來分析惡意軟體?

對於企業來說,傳統防病毒和端點安全工具是分層網路防禦戰略的關鍵組成部分,但在檢測惡意軟體方面,它們並非100 有效。有些更高階的惡意軟體 例如利用零日漏洞的多級惡意軟體 可攻擊這些安全工具並感染受害機器。這種高階惡意軟體通常由民族國家或有組織犯罪團夥用來入侵具有良好傳統防禦的企業,並且,他們通常通過...