浅议基于工具病毒行为研究.docVIP

浅议基于工具病毒行为研究【摘要】本文主要通过一系列工具的使用，对计算机病毒进行行为监控。主要从文件、端口、网络连接、注册表、进程等方面分析病毒对系统进行了哪些修改。从而对病毒进行行为分析。并通过实例进行讲解。 【关键词】病毒；行为监控；注册表；文件；系统 一、引言 在与计算机病毒的较量中，人们设计出了反病毒软件，并研究出了防火墙。早期的病毒防治技术多基于病毒特征码这一思想，即病毒专杀工具能根据已知病毒的特征代码较容易的发现病毒，效果十分明显。一时间我们似乎战胜了计算机病毒。但变形病毒这一不速之客的出现，一改以往病毒的入侵机制，对病毒防治理论提出了新的考验。 计算机病毒对计算机的妨害是当前急需人们关注的问题。信息安全领域当中，计算机病毒针对计算机系统的破坏是相当可观的。病毒肆意破坏系统中的注册表、文件等信息，对计算机用户的个人信息安全造成了极大的威胁。针对计算机病毒行为监控的问题越发显得重要。在计算机安全领域，针对计算机病毒的防护有着多种多样的手法。本文中主要针对计算机行为监控进行分析。主要通过工具分析的方法，分析病毒行为。 二、分析准备工作 本文主要通过计算机实例对病毒行为监控进行详细阐述。本文选取了网络上流行的病毒程序（名为MezKbs.exe可执行程序）。主要功能是对用户键盘记录和屏幕使用进行截图，窃取用户个人隐私信息并发送到指定邮箱。 分析监控过程主要分为工具准备、前后系统信息采集，对病毒安装前后采集的系统信息进行比较分析，查找出MezKbs.exe程序对系统造成的变化，分析出其恶意行为。此外，为了更深入地掌握MezKbs.exe的行为方式，作为日后类似恶意程序的鉴定样本，还利用专业的查壳、脱壳和逆向分析工具对MezKbs.exe本身进行反汇编分析，撰写反编译伪代码程序，掌握MezKbs.exe攻击原理和流程。 2.1 虚拟测试环境 为了分析MezKbs.exe的攻击行为，作为鉴定工作的首要就是准备一个测试虚拟操作系统Windows XP Professional作为MezKbs.exe的运行终端。 接下来就是准备电子数据采集的相关工具，利用这些工具对MezKbs.exe程序所在终端进行分析，主要包括MezKbs.exe程序的加载运行对系统注册表、文件系统、活跃进程和网络连接等的影响；利用相关的查壳、脱壳和逆向工具对MezKbs.exe程序本身进行分析，发掘其编程过程和攻击原理；采用相应的网络连接、CPU使用和内存使用情况等分析工具来采集MezKbs.exe的恶意攻击对目标系统造成哪些影响。 采用桌面虚拟计算机软件名称为VMware Workstation，软件版本为7.0.1 build-227600，语言为英语。 2.2 分析工具： 电子数据采集过程使用到相关工具如表1所示： 表1鉴定工具列表 工具名称功能描述 Date/t；time/t获得系统当前时间 Psinfo.exe获取系统基本信息 Ipconfig/all查看系统网络配置 Regmon.exe对系统注册表进行镜像，监督注册表变化 Filemon.exe对文件系统变化进行监督 TcpView.exe对网络连接进行实时监控 ProcessExplorer.exe监控系统活动进程 三、分析方法 本次针对MezKbs.exe恶意程序的鉴定方法主要采取镜像对比的方法实现。首先，在运行MezKbs.exe程序前，对系统的活动进程、注册表、文件系统和网络连接等进行采集；其次，运行MezKbs.exe程序并对键盘进行读写并等待一段时间以后，再对系统的活动进程、注册表、文件系统和网络连接等进行采集；最后，对两次采集的信息进行比较，发掘其中MezKbs.exe对系统造成的变化。 将对MezKbs.exe鉴定采集的电子数据集分成三类系统基本信息、鉴定前镜像和鉴定后镜像。同时对每个生成的镜像文件进行MD5和SHA-256校验，作为以后镜像文件是否发生变化的依据。 样品是名为MezKbs.exe可执行程序，其基本信息如下： 1）程序标题：梦真键盘屏幕全纪录 2）程序名称：MezKbs.exe 3）产品说明：键盘屏幕纪录木马 4）产品版本：V8.2 5）产品名称：MezKbs 6）内部名称：kbs 7）源文件名：kbs.exe 8）语言：中文 9）编程环境：Microsoft Visual C++ 6.0 行为分析方法主要是借助相应的监控工具，对待测程序的行为进行监控，以便发现其恶意轨迹；同时，将分析结果保存在相应的镜像文件里，并对镜像文件进行MD5和SHA-256校验。