多平台恶意文件行为分析技巧
riusksk(泉哥)
http://riusksk.blogbus.com
腾讯安全应急响应中心
2011/8/20
没有分析的生活是毫无意义的。
——
Socrates(苏格拉底),公元前 460-‐299 年
【摘要】
本文主要针对 Windows、Linux、Android、Symbian、iPhone 和 Windows
Mobile 等不同系统上的恶
意文件行为进行分析,并结合实例总结出一些分析方法和技巧。
目录
1、前言
.......................................................................................................................................................
3
2、Windows 平台下的恶意文件行为分析
...............................................................................................
3
2.1
环境搭建
..........................................................................................................................................
3
2.2
分析过程
..........................................................................................................................................
4
2.3
总结
................................................................................................................................................
10
3、Linux 平台下的恶意文件行为分析
....................................................................................................
11
3.1
环境搭建
........................................................................................................................................
11
2.2
分析过程
........................................................................................................................................
12
3.3
总结
................................................................................................................................................
15
4、Android 平台下的恶意文件行为分析
................................................................................................
15
4.1
环境搭建
........................................................................................................................................
15
4.3
分析过程
........................................................................................................................................
17
4.4
总结
................................................................................................................................................
27
5、Symbian 平台下的恶意文件行为分析
...............................................................................................
28
5.1
环境搭建
........................................................................................................................................
28
5.2
分析过程
........................................................................................................................................
29
5.3
总结
................................................................................................................................................
35
6、iPhone 平台下的恶意文件行为分析
.................................................................................................
35
6.1
环境搭建
........................................................................................................................................
35
6.2
分析过程
........................................................................................................................................
37
6.3
总结
................................................................................................................................................
49
7、Windows
Mobile 平台下的恶意文件行为分析
.................................................................................
49
7.1
环境搭建
........................................................................................................................................
49
7.2
分析过程
........................................................................................................................................
49
7.3
总结
................................................................................................................................................
54
8、书籍推荐
.............................................................................................................................................
54
9、结语
.....................................................................................................................................................
54
1、前言
在当今这种不和谐的网络当中,有时难免要与恶意文件作斗争,而当病毒一旦爆发,特别是蠕虫病
毒,其感染速度是相当之快的。与此同时,现代的病毒大多采用了多态和加壳等方法来保护自己,如果
以传统的手工分析方式来处理,无疑会耗费大量的时间和人力,因此在面对病毒分析及处理时,安全人
员需要以高效率的方式快速分析出病毒所执行的恶意行为,并采取相应措施进行处理。所以本文的主题
主要就是针对如何通过自动或半自动地方式来快速分析二进制文件的恶意行为,以便及时对其进行处理。
本文主要涉及 Windows、Linux、Andorid、Symbian、iPhone 和 WinPhone7 系统平台下的恶意文件行为
分析,对其进行分别讨论。
2、Windows 平台下的恶意文件行为分析
2.1
环境搭建
2.1.1
虚 拟 机 创 建 工 具
Vmware:一款用于创建虚拟机的商业软件,但网上有破解版及注册码,其功能较多也较为稳
定,并且支持跨平台,一般作为首选工具。
VirtualBox:由 Sun 公司出品的一款免费软件,操作简便,但不够稳定,BUG 很多,易导致虚
拟机崩溃无法重启。
VirtualPC:微软出品的虚拟机创建软件,自 Win7 推出之后更名为 Windows
Virtual
PC,一般只
用来创建 Windows 虚拟机。
2.1.2
行 为 监 控 软 件
Process
Monitor:windows 下高级实时监听工具,用于监视文件系统、注册表、进程和线程的
活动,而且它兼并了 Filemon 和 Regmon 两个工具的特点,是分析恶意软件
时的必备神器。
Process
Explorer:一款进程管理工具,可查看进程所加载的模块、路径、内存状态、安全属性
等信息,便于查看被 DLL 注入的进程
Malware
Defender:一款免费的主动防御软件,可用于监视文件、进程、注册表、网络、驱动
加载等行为,其监测规则可自行添加或修改,是本人常用软件。
TCPView:用于监测系统上 TCP 和 UDP 端口,可列出相对应的进程名、远程地址和连接状态。
Wireshark:著名的网络抓包工具,属于开源项目,支持多平台多协议,其功能强大,无论是
在恶意软件分析还是脚本攻防上,时常都可见到它的身影。
Sandboxie:Sandboxie(沙盘)允许你在沙盘环境中运行浏览器或其他程序,因此运行所产生
的变化可以随后删除。用它来运行病毒并不会危害到主机系统,便于病毒分析,
但沙盘并不能用来监控注册表、网络、对文件的修改和删除,其功能相当有限。
2.1.3
文 件 恢 复 工 具
FinalRecovery:一款文件恢复工具,操作简便,容易上手。由于病毒时常带有自删除功能,因
此我们需要对删除的文件进行恢复以便作进一步的分析,该工具主要就是为实
现该功能。
2.1.4
逆 向 分 析 软 件
Ollydbg:著名的动静态分析结合的调试器,是病毒分析不可缺少的神器。
IDA:强大的反汇编器,且支持多平台的二进制文件分析,其插件 Hex-‐ray 直接 F5 即可逆向出
C 代码(若想编译通过一般都得经过修改),这对于快速分析病也是大有益处。它虽自带
有调试器,但功能有限。
2.1.5
恶 意 软 件 行 为 在 线 分 析 网 站
Comodo
malware
analyze:http://camas.comodo.com/cgi-‐bin/submit( 推 荐 )
由著名杀软厂商科摩多公司出品的恶意软件行为分析站点,通过提交样本,然后再病毒运
行后执行的行为监测并记录下来,然后通过网站返回信息给用户。提交样本后,一会即可返回
记录信息,而无需通过邮件接收,更方便,更及时,可作为首选站点。
Malbox:http://malbox.xjtu.edu.cn/( 推 荐 )
由西安交通大学开发的在线分析网站,
经过测试,其返回的报告相对还是比较完整和准
确的,但由于是通过邮件反馈报告的,所以时间上会比 comodo 慢些,略逊一筹。
ThreatExpert:http://www.threatexpert.com/submit.aspx
一个老牌的恶意文件自动分析系统,也是通过邮件反馈信息,经常得十来分钟才能收到邮
件,相对较慢,而且出的分析报告不够详细和准确。
2.1.6
病 毒 在 线 扫 描 站 点
VirusTotal:http://www.virustotal.com/( 推 荐 )
所上传的文件进行检测,
以判断文件是否被病毒,
蠕虫,
木马,
以及各类恶意软件感染。
Virus
Total 是一款非常实用的可疑文件网络分析服务,
通过各种知名反病毒引擎,
对用户
VirSCAN:http://www.virscan.org/
VirSCAN 跟 VirusTotal 是当前主要的两大在线病毒扫描网站,均为免费网站。虽然这两个
网站支持很多杀毒引擎的扫描,但总有存在误报的可能,可参考当前的主流杀软的扫描结果,
并结合样本进行分析判断。
Jotti's
malware
scan:
http://virusscan.jotti.org/en
也是一个免费的在线病毒扫描网站,而且很快就能给出扫描结果,但支持的杀毒引擎没有
前两者多。
2.2
分析过程
2.2.1
扫 描 样 本
可先将样本提交至上面列出的几个病毒在线扫描站点,根据其给出的扫描结果,大致对样本是
否为病毒有一个大致的认识。当报毒率较高时,该样本为病毒的可能性就很大了;但当报毒率较低
时,可主要参考下当前主流杀软的结果,再结合后续的行为监测来进一步判断。
2.2.2
行 为 监 控
提交样本到恶意文件行为在线分析网站,这里首推 comodo 的,下图是某盗号木马的部分报告截图:
由上图可知,该木马生成了一些病毒文件,并对进程注入恶意代码,访问网络等行为。对于被删除的文
件用 FinalRecovery 即可轻松恢复,以便将自删除的程序再提交分析:
但有时因样本不便公开而不能上传到网站上时,我们可在虚拟机下开启一些行为监控工具,然后运行样
本查看其行为,以下为监测某病毒程序时的情况:
也可用 Process
Monitor 查看的信息会更为详细,但给出的信息过多就不便于有针对性地查看,因此要
多用用过滤功能:
由上可知它也生成了一些程序、批处理文件,并进行了 DLL 注入,篡改系统文件。我们可以用 Process
Explorer 来查看 explorer.exe 是否真的被 DLL 注入了,由下图可知它被注入了 3 个 ocx 文件:
对于被 DLL 注入的进程,我们还应该关注下它的行为,看它又执行了哪些恶意行为:
另外 Process
Explorer 中的 string 查找功能有时可以从中找到不少有用的信息,由下图可以知道该木马会
将盗号信息远程上传给黑客: