恶意代码分析的目标

通常是为一起网络入侵事件的响应提供所需的信息。

  • 确定某一个特定的可以二进制程序到底可以做什么
  • 如何在网络上检测它
  • 如何衡量并消除它所带来的危害

因此,需要确定到底发生了什么,并确保能够定位出所受感染的主机和文件。确定了哪些文件需全面分析后,要编写相应的“检测特征码”,以便在网络中检测出恶意代码感染的主机。

  • 基于主机的特征码,或称为感染迹象,用于在受感染主机上检测出恶意代码。这些迹象通常是恶意代码所创建或修改的文件,或是它们对注册表的特定修改。
  • 网络特征码是通过检测网络流量来检测恶意代码。网络特征码可以在没有进行恶意代码分析时创建,但在恶意代码分析帮助下提取的特征码往往更加有效,可以提供更高检测率和更少误报。

在获得特征码之后,最终目标是要弄清楚究竟这些恶意代码时如何公工作的。

恶意代码类型

经验技巧:一旦能够猜测出恶意代码样本在尝试做什么,然后去验证猜想,就会加速分析过程,如果知道恶意代码通常会做哪些事情,那么就能够做出更准确的猜测。

经验技巧:恶意代码经常跨越多个类别,可以执行多个功能,所以不要太陷入根据恶意代码功能进行分类的误区。

  • 后门:恶意代码将自身安装到一台计算机来允许攻击者访问。后门程序通常让攻击者只需很少认证或无需认证,便可连接到远程计算机上,并可以在本地系统执行命令。
  • 僵尸网络:与后门类似,也允许攻击者访问系统。但是所有被同一僵尸网络感染的计算机将会从一台控制器命令服务器接收相同的命令。
  • 下载器:用来下载其他恶意代码的恶意代码。下载器通常是在攻击者获得系统的访问时首先安装的。下载器会下载和安装其他恶意代码。
  • 间谍软件:从受害主机上手机并发送给攻击者的恶意代码。
  • 启动器:用来启动其他恶意程序的恶意代码。通常情况下,启动器使用一些非传统的技术,来启动其他恶意程序,以确保其隐蔽性,或者更高权限访问系统。
  • 内核套件:设计者用来隐藏其他恶意代码的恶意代码。内核套件通常是其他恶意代码(后门)组合成工具套装,来允许为攻击者提供远程访问,并且使代码很难被发现。
  • 勒索软件:设计成吓唬受感染的用户,来勒索他们购买某些东西的恶意代码。
  • 发送垃圾邮件的恶意代码:这类恶意代码在感染用户计算机之后,便会使用系统与网络资源来发送大量的垃圾邮件。这类恶意代码通过攻击者出售垃圾邮件发送服务而获得收益。
  • 蠕虫或计算机病毒:可以自我复制和感染其他计算机的恶意代码。

恶意代码还可以根据攻击目标分成大众性还是针对性两类。

  • 大众性的恶意代码,如勒索软件,采用的一种是撒网捞鱼的方法,设计为影响到尽可能多的机器。
  • 针对性的恶意代码如后门,是针对特定组织而研制的。针对性的恶意代码在网络上是比大众性恶意代码更大的安全威胁。

恶意代码分析通用规则

  • 首先不要过于陷入细节。大多数恶意软件程序会是庞大而复杂的,你不可能了解每一个细节。你需要关注最关键的主要功能。当年遇到一些困难和复杂的代码段后,你应该在进入到细节之前有一个概要性的了解。
  • 其次,请记住对于不同的工作任务,可以使用不同的工具和方法。这里没有一种通吃的方法。每一种情况是不同的,而你将要学习的各种工具和技术将有类似的,有时甚至重叠的功能。如果你在使用一个工具的时候没有很好的运气,那么尝试另外一种。如果你在一个点被卡住了,不要花太长时间在这个点上,尝试转移到其他问题。
  • 最后,请记住,恶意代码分析就像是猫抓老鼠的游戏。在新的恶意代码分析技术开发的同时,恶意代码编写者也在回应着可以挫败分析的新技术。作为一名恶意代码分析师,你如果想要取得成功,就必须能够认识、理解和战胜这些新技术,并能够快速地应对恶意代码分析艺术的新变化。