课程10-恶意代码基础知识与分析方法演示文稿.ppt

MwSniffer – 网络行为监控 * 网络攻防技术与实践课程 Copyright (c) 2008－2009 诸葛建伟 * 僵尸网络控制 信道信息提取 网络连接行为 “沙盒”技术 - Sandbox 沙盒技术 用于安全运行程序的安全环境. 经常被用于执行和分析非可信的代码. 用于防御的沙盒技术 Java Applets, jail(virtual hosting), 虚拟机, 权能 用于恶意代码分析的沙盒技术实例 Norman Sandbox(模拟器): /microsites/nsic/ CWSandbox(Native OS): / FVM Sandbox(Native OS) 轻量级并行化沙箱 developer: 宋程昱 并行化-标配服务器64路并行 * 网络攻防技术与实践课程 Copyright (c) 2008－2009 诸葛建伟 * FVM Sandbox-轻量级并行化沙箱 轻量级沙箱技术 基于Windows操作系统（提供样本运行环境） 使用名字空间重定向技术实现资源隔离、可并发化、沙箱的透明化及分析环境的可恢复性 使用COW (Copy on Write)技术保证沙箱的轻量化 基于内核层的SSDT Hooking技术实现进程动态行为的分析和控制 * 网络攻防技术与实践课程 Copyright (c) 2008－2009 诸葛建伟 * 恶意代码相关法律和案件 刑法286条第三款 故意制作、传播计算机病毒等破坏性程序，影响计算机系统正常运行，后果严重的，处五年以下有期徒刑或者拘役；后果特别严重的，处五年以上有期徒刑。 计算机病毒防治管理办法(2000.4.6) 任何单位和个人不得制作计算机病毒。 任何单位和个人不得有下列（故意）传播计算机病毒的行为 案件 证券大盗（无期）- 涉及金融盗窃性质 熊猫烧香 – 有期4年 * 网络攻防技术与实践课程 Copyright (c) 2008－2009 诸葛建伟 * 计算机软件保护相关法律和案件 刑法 217条“侵犯著作权罪”：3年以下有期徒刑或者拘役 218条“销售侵权复制品罪”： 3年以下有期徒刑或者拘役 计算机软件保护条例 申请软件著作权，保护期50年 盗版侵权: 复制、公众发行、避开软件保护机制 非付费使用: 为了学习和研究软件内含的设计思想和原理 案件 珊瑚虫QQ作者陈寿福被判刑三年 罚款120万元 番茄花园侵权案 * 网络攻防技术与实践课程 Copyright (c) 2008－2009 诸葛建伟 * * 网络攻防技术与实践课程 Copyright (c) 2008－2009 诸葛建伟 * 内容 恶意代码基础知识 恶意代码分析环境与方法 作业7：分析一个自制恶意代码样本 * 网络攻防技术与实践课程 Copyright (c) 2008－2009 诸葛建伟 * 作业7: 分析一个自制恶意代码样本 作业内容： 本次实践作业的任务是分析一个自制的恶意代码样本，以提高对恶意代码逆向工程分析技术的认识，并提高逆向工程分析的方法、工具和技术。 关于这个二进制文件，我们只能告诉你创建它的目的是为了提高安全业界对恶意代码样本的认识，并指出为对抗现在的恶意代码威胁发展更多防御技术的必要性。现在你作为一名安全事件处理者的任务（如果你接受的话）就是深入分析这个二进制文件，并获得尽可能多的信息，包括它是如何工作的，它的目的以及具有的能力，最为重要的，请展示你获取所有信息所采取的恶意代码分析技术。 待分析二进制文件位置： FTP/exercises/exercise7.zip, MD5 = a75de27ee59ab60e148efe7feee5dd3f *警告* 这个二进制文件是一个恶意代码，因此你必须采用一些预防措施来保证业务系统不被感染，建议在一个封闭受控的系统或网络中处理这个未知的实验品。 * 网络攻防技术与实践课程 Copyright (c) 2008－2009 诸葛建伟 * 作业问题 总分20分 1. 提供对这个二进制文件的摘要，包括可以帮助识别同一样本的基本信息。 2. 找出并解释这个二进制文件的目的。 3. 识别并说明这个二进制文件所具有的不同特性。 4. 识别并说明这个二进制文件所采用的通讯方法，并给出一个尽量普遍的Snort规则使其能够检测这种类型的恶意代码，在避免产生高误报率的同时，能够检测出其他相似的样本。 5. 识别并解释这个二进制文件中所采用的防止被分析或逆向工程的技术。 6. 对这个恶意代码样本进行分类（病毒、蠕虫等），并给出你的理由。 7. 给出过去已有的具有相似功能的其他工具。 8. 提出对抗由这个二进制文件带来安全威胁的检测和防御方法。 奖励问题： bonus 3分 9. 可能调查出这个二进制文件的开发作者吗？如