恶意程序分析 2012计算机网络安全会议资料.pptxVIP

作者：姚纪卫(linxer)邮箱：linxer@163.com;目录;一、概述、分类;二、PE病毒分析;1.文件静态信息预判(实例讲解);A2.伪装成微软文件 (某特别木马) ;B.版本信息随机化（md5: BC89DF1CAB72437372471E） ;C1.可能的Exe、 Dll相互伪装（md5: 823BCDC05B3A7CDAB2E5A1 ） ;C2.Exe、Dll同文件(某特别木马) ;D.额外数据（md5: 78660BB390863BF2EB975212188C7FC9 ） ;E.加壳 、PE头部信息 （md5: E91F5323A8AE52B8B66F31DA7D021D42 ） ;（md5: BDB1D941F54C980B9B9907 ） ;（md5: E2F0D3E2781650E7DDF6422F7D4D2534 ） ;F.导入表;（md5: 411A86CE94EF59EFCEC43C88B9E40FE7 ） ;（md5: 62D6CD8A4FB183FEC8A68C7B2AB29AE7 ） ;G.IDA反汇编;寄存器异常（md5:7961119D5E4B518AB81F99F67B90ED00） ;（md5: A99C1D66942FFC26498AA8FA2AF059EB,刚分析过的病毒 ） 是否为僵尸进程？ ? UnmapViewOfFile 是否为注入型病毒？ ? WriteProcessMemory;二、PE病毒分析;2.行为分析;A.行为分析方法;HIPS类监控软件(md5: 81B5AE35ECA063A069ABA1) ;在线分析系统(md5:1056F7C099EAEA7E1672B4) ;IDA分析 (md5:1056F7C099EAEA7E1672B4) ;RorDbg应用一例(md5:411A86CE94EF59EFCEC43C88B9E40FE7) ;XueTr分析灰鸽子(md5:81B5AE35ECA063A069ABA1) ;B.病毒隐身行为;僵尸进程 有目的的进攻（APT） 消除入侵痕迹 ;C.病毒自保行为;占用安全软件需要使用的系统资源 IFEO安全软件 禁止任务管理器等运行 禁止Windows安全中心的一些项目 加壳、伪装 Anti-Debug、Anti-Trace、Anti-VM 变形、加密、入口点模糊 畸形文件路径、畸形注册表路径 符号链接 Rootkit、Bootkit性质自保技术 ……;D.病毒其他行为;加载驱动 联网下载 运行新进程 安装SPI 远线程注入 写其它进程内存 注册组件 改IE配置 枚举局域网资源 扫描网络（共享目录） 写MBR;修改文件关联 卸载其他进程模块 键盘记录、屏幕截图 …… 最终目的行为 盗取游戏帐号、装备等虚拟财产 盗取金钱（网银、第三方支付） 刷流量、打广告、做推广 文档等机密信息盗窃 破坏、恶作剧 技术炫耀、个性张扬 …… ;二、PE病毒分析;3.简单检测方案;三、PDF病毒分析;1.PDF格式介绍;2.文件静态信息预判;B.OpenAction+Exe（md5: 99A783EFF51F822D5C4AF9BA89051DFE ） ;C.AcroForm+XFA+FlateDecode+EmbeddedFile（md5: 01DA098D8B494E86FF912526A6AE8821 ） ;3.行为分析;4.检测方案;四、HTML病毒分析;1.文件静态信息预判;B.内嵌不可见swf（md5:10E3B7F131EBDD680FB123E7310800C5） ;C.堆喷射（md5:FC53B928745E6064CC4ED2D6AD48D50E） ;D.特定ClassId、特定函数名（md5:84CD55DB9D8CF4B21CE3E512125ED28D） ;E.加密（md5:7DDCA33C5D1B421C623D1B102A93C6B9） ;2.行为分析;3.检测方案;五、其它病毒分析;六、总结; Q？ 致谢 感谢各位 感谢会议主办方