恶意代码取证..ppt

恶意代码取证 主要内容 前言 恶意软件事件响应 内存取证 事后取证 文件识别和构型 Windows平台下可疑软件分析 前言 数量迅速增长，表现出“混合-威胁”特征，具有多种功能和多种不同的传播方法。 /1.js Stuxnet病毒（震网） 利用恶意软件去实施和隐藏犯罪的现象日益普遍，这就迫使需要更多的数字调查员参与到反病毒厂商和安全研究人员的领域中，利用一些恶意软件分析技术和工具来进行恶意软件分析。 主要内容 前言 恶意软件事件响应 内存取证 事后取证 文件识别和构型 Windows平台下可疑软件分析 传统静态取证模型 动态取证模型 恶意软件事件响应：易失性数据收集与实时Windows系统检查 建立实时响应工具包 进行实时取证响应时，最重要的是要使用可信赖的工具从目标系统中获取数据。 确定并记录工具的依赖性，这样有利于了解使用一个工具时，其将对其他文件进行哪些访问，以及对系统造成哪些变化。可以使用Dependency Walker或PEView之类的PE文件分析，已得到这些工具的文件依赖关系。 选择好工具后，需要将工具放到实时响应工具箱中，创建工具套件的测试和验证系统最有效的方法是建立VMWare之类的虚拟os来实现。 恶意软件事件响应：易失性数据收集与实时Windows系统检查 易失性数据的保存 获取整个内存数据：利用PsTools套件中的pslist程序获取。 从实时Windows系统中获取整个内存，最简单的放大就是从移动存储介质中运行dd命令来获取整个物理内存。一些软件：Helix（/helix）、Nigilant；还有一些商用的远程取证工具：ProDiscoverIR、OnlineDFS/LiveWire已经可以获取远程系统的整个内存数据。 搜集目标系统的详细信息 系统日期和时间：shell中的date/t、time/t命令，Win2003中的now命令。 系统标识符：包括计算机名、ip地址。whoami获取系统用户信息，ver获取os信息，ipconfig/all获取IP地址信息。 网络配置：老练的恶意软件通过与远程控制端进行VPN连接进行通信以逃避入侵检测软件和其他网络监控系统。工具Promiscdetect和Promqry是检查这方面的利器。 被激活的协议 通过URLProtocolView程序来识别目标系统已被激活的协议。 系统正常运行时间 如果能够确定恶意软件从被安装之后目标系统没有重启，这非常重要。 可以从工具箱中调用uptime程序（/kb/232243）。 系统环境 如操作系统版本 、补丁级别和硬件。 可使用psinfo、systeminfo、Dumpwin等工具来查询系统可以获得目标环境和状态的准确快照。 识别登录到当前系统的用户 调查人员应尽力获取有关一下信息：用户名登录位置、登录Session的持续时间、该用户访问的共享文件或其他资源、和该用户关联的进程、该用户引起的网络活动。 Psloggendon，是包含在PsTools套件中的一个命令行接口程序，可以来识别本地和远程登录到目标系统的用户。 Quser，这个程序可以用来显示已登录用户名、登录的时间和日期，以及session类别及状态等信息。 检查网络连接和活动 网络连接情况、最近的DNS请求、目标系统的NetBIOS名字表、ARP缓存以及内部路由表。 Netstat是各种Win os自带的程序，用来显示目标系统中目前已经建立或者正在进行监听的socket连接。 搜集进程信息 通常恶意软件运行时，都在目标系统中以进程的形式表现出来。 从最基本的信息进程名和ID开始，搜集临时上下文环境、内存消耗、可执行程序镜像的进程、用户镜像的进程、子进程、调用库和依赖库、用来创建进程的命令行参数、相关联的句柄、进程的内存内容、与系统状态和残留环境相关的上下文环境。 tlist程序、tasklist程序、PRCView.exe。 关联开放端口及其活动进程 端口扫描：使用nmap工具。 通用端口（/assignment/port-numbers）。 检查服务和驱动程序 尽管服务对终端用户是透明的，在系统后台运行，恶意软件也就可以以自运行方式在后台运行，导致用户难以发现。 Psservice是一个可以提供目标系统中服务的详细情况的工具。 检查打开的文件 通过打开的文件可以判断目标系统感染的恶意代码的类型，如可以知道恶意软件样本实际需要调用的或者操作的服务和资源。 识别本地代开的文件：用NirSoft开发的OpenFilesView工具。 识别远程打开的文件：除了系统自带的net file命令外，常用工具是Mark Russionvich开发的