实战——恶意软件监视技术.PDFVIP

北京大学计算机科学技术研究所 郭晋鹏 实战——恶意软件监视技术 ——郭晋鹏 一、概述 众所周知，恶意软件是一个集合名词，是指非授权情况下在计算机上执行恶意任务的病毒、 蠕虫、木马程序。恶意软件的危害也是有目共睹的，感染文件破坏操作系统，攻击服务器， 使网络瘫痪，非法窃取用户重要信息等等。 本文将介绍如何用工具来监视和分析恶意软件的行为。 二、恶意软件一般有两大行为特征： 1. 网络行为特征 所谓网络特征，顾名思义，就是恶意软件在网络上表现的行为。常见的有： 1）有些恶意软件会扫描局域网，搜寻有漏洞的主机，伺机传播。 2 ）特洛伊木马会监听指定的控制端口，和远程控制端进行交互。有些Bot 工具会发动 对远程主机的DDos 攻击，而有些病毒会疯狂的发送大量带病毒副本的邮件。 2. 系统行为特征 所谓系统行为特征，就是指恶意软件为了达到传播自身，掩饰自己不被发现等目的，而 对系统进行修改的种种行为。常见的手法有： 1）修改注册表：某些常见的恶意软件一般通过修改注册表的手法来达到开机随系统自 动启动，自动加载等目的。 2 ）修改系统文件：例如一些恶意软件为了阻止用户使用杀毒软件，提高自身存活率， 通过修改系统的hosts 文件，使得主机不能访问杀毒软件网站，从而不能进行在线杀毒 和病毒库更新。 3 ）杀死对自己有威胁的进程：通过实时监视系统进程，及时杀死某些著名杀毒软件或 者监控软件的进程，从而达到保护自己的目的（所谓先下手为强） 4 ）感染文件：感染系统文件，生成大量副本，传播自身。 三、工具介绍 “工欲善其事，必先利其器”，在开始研究恶意软件的一些行为之前，让我们先来熟悉一 下将要用到的工具。 针对恶意软件的两大行为特征，我们需要准备以下几种工具： 1）网络监控工具。 每种工具都有它的优缺点，所以要学会扬长避短，互相补充。 Fport——网络监测首先是监测本地的程序和外界有些什么连接，这里较为推崇的是 Fport ，现在的版本是2.0 。Fport 可以把本机开放的TCP/UDP 端口同应用程序相关联，并可 以显示进程PID ，名称和路径。结合windows 下的命令“netstat –na ”，就可以将本地进程， 本地端口，远程主机IP 及端口都联系起来。对我们分析恶意软件的网络行为很有帮助。由 于Fport 比较使用简单，这里不再赘述。详情见Fport 帮助。 Sniffer——虽然知道了恶意软件和哪些主机有连接，但是我们更关心的是，这些恶意软 件通过网络在做些什么，是在发送病毒副本，还是在发起DDos （远程拒绝服务）攻击，还 是在和控制者进行联系，泄露用户的信用卡帐号密码之类的。这里我们就要对发送和接收的 数据包进行窃听，也叫嗅探，用到的工具当然就是嗅探器（sniffer ）了。Sniffer 是一个强大 的网络监视工具，它通过抓取经过本机网卡的所有数据包，监测网络中各种协议、大小的数 据包的数量、传播方向、传播速度等等，是网络管理员监测网络性能的得力工具，同时，也 北京大学计算机科学技术研究所 郭晋鹏 是黑客等进行不法活动的利器。Sniffer 最早出现在 Unix 系统中，例如 Tcpdump，Snoop； 后来人们又开发出了windows 环境下的Sniffer，例如Sniffer pro，Commview 。由于这次对 恶意软件的监控是在windows 环境下的，所以我们选择了Commview 这款软件。下面着重 介绍一下Commview 的使用。 1 。下载Commview 5.0，安装 2 。安装好之后，就可以试运行了。下面是主界面（如图1） （图1-Commview_主界面） 这里可以选择要监听的网络适配器（网卡）、可以设置过滤规则，查看当前连接状况、查看 捕获到的数据包的内容以及一些复杂的设置。 3 。基本操作 1 ）按“开始捕获”开始抓包，如图2 所示： 北京