《恶意代码取证》由会员分享,可在线阅读,更多相关《恶意代码取证(64页珍藏版)》请在金锄头文库上搜索。
1、 恶意代码取证韩承钦S310060109主要内容 前言 恶意软件事件响应 内存取证 事后取证 文件识别和构型 Windows平台下可疑软件分析前言 数量迅速增长,表现出“混合-威胁”特征,具 有多种功能和多种不同的传播方法。 Stuxnet病毒(震网) 利用恶意软件去实施和隐藏犯罪的现象日益 普遍,这就迫使需要更多的数字调查员参与 到反病毒厂商和安全研究人员的领域中,利 用一些恶意软件分析技术和工具来进行恶意 软件分析。主要内容 前言 恶意软件事件响应 内存取证 事后取证 文件识别和构型 Windows平台下可疑软件分析传统静态取证模型攻击进行中证据收集证据分析法律裁判攻击发生检测到攻击备份
2、证据原始证据分析结果传统静态取证模型动态取证模型网络及主机信息攻击进行中取证收集响应系统网络监控法律制裁证据分析攻击发生攻击信息备份证据提交原始证据 与分析结果恶意软件事件响应:易失性数据收集与实 时Windows系统检查适用于Windows 的时间响应工具 套件易失性数 据收集方法建立实时 响应工具包从实时Windows 系统收集非易 失性数据建立实时响应工具包 进行实时取证响应时,最重要的是要使用可信赖 的工具从目标系统中获取数据。 确定并记录工具的依赖性,这样有利于了解使用 一个工具时,其将对其他文件进行哪些访问,以 及对系统造成哪些变化。可以使用Dependency Walker或PE
3、View之类的PE文件分析,已得到这 些工具的文件依赖关系。 选择好工具后,需要将工具放到实时响应工具箱 中,创建工具套件的测试和验证系统最有效的方 法是建立VMWare之类的虚拟os来实现。恶意软件事件响应:易失性数据收集与实 时Windows系统检查适用于Windows 的时间响应工具 套件易失性数 据收集方法建立实时 响应工具包从实时Windows 系统收集非易 失性数据易失性数据的保存 获取整个内存数据:利用PsTools套件中的 pslist程序获取。 从实时Windows系统中获取整个内存,最简 单的放大就是从移动存储介质中运行dd命 令来获取整个物理内存。一些软件:Helix (
4、www.e- 有一些商用的远程取证工具: ProDiscoverIR、OnlineDFS/LiveWire已经 可以获取远程系统的整个内存数据。搜集目标系统的详细信息 系统日期和时间:shell中的date/t、time/t命令, Win2003中的now命令。 系统标识符:包括计算机名、ip地址。whoami获 取系统用户信息,ver获取os信息,ipconfig/all获 取IP地址信息。 网络配置:老练的恶意软件通过与远程控制端进 行VPN连接进行通信以逃避入侵检测软件和其他 网络监控系统。工具Promiscdetect和Promqry是 检查这方面的利器。被激活的协议 通过URLPro
5、tocolView程序来识别目标系统 已被激活的协议。系统正常运行时间 如果能够确定恶意软件从被安装之后目标系 统没有重启,这非常重要。 可以从工具箱中调用uptime程序( http:/ 。系统环境 如操作系统版本 、补丁级别和硬件。 可使用psinfo、systeminfo、Dumpwin等工 具来查询系统可以获得目标环境和状态的准 确快照。识别登录到当前系统的用户 调查人员应尽力获取有关一下信息:用户名登录 位置、登录Session的持续时间、该用户访问的共 享文件或其他资源、和该用户关联的进程、该用 户引起的网络活动。 Psloggendon,是包含在PsTools套件中的一个命 令行
6、接口程序,可以来识别本地和远程登录到目 标系统的用户。 Quser,这个程序可以用来显示已登录用户名、登 录的时间和日期,以及session类别及状态等信息 。检查网络连接和活动 网络连接情况、最近的DNS请求、目标系 统的NetBIOS名字表、ARP缓存以及内部路 由表。 Netstat是各种Win os自带的程序,用来显 示目标系统中目前已经建立或者正在进行监 听的socket连接。搜集进程信息 通常恶意软件运行时,都在目标系统中以进 程的形式表现出来。 从最基本的信息进程名和ID开始,搜集临时 上下文环境、内存消耗、可执行程序镜像的 进程、用户镜像的进程、子进程、调用库和 依赖库、用来创
7、建进程的命令行参数、相关 联的句柄、进程的内存内容、与系统状态和 残留环境相关的上下文环境。 tlist程序、tasklist程序、PRCView.exe。关联开放端口及其活动进程 端口扫描:使用nmap工具。 通用端口(www.iana.org/assignment/port- numbers)。检查服务和驱动程序 尽管服务对终端用户是透明的,在系统后台 运行,恶意软件也就可以以自运行方式在后 台运行,导致用户难以发现。 Psservice是一个可以提供目标系统中服务 的详细情况的工具。检查打开的文件 通过打开的文件可以判断目标系统感染的恶 意代码的类型,如可以知道恶意软件样本实 际需要调用
8、的或者操作的服务和资源。 识别本地代开的文件:用NirSoft开发的 OpenFilesView工具。 识别远程打开的文件:除了系统自带的net file命令外,常用工具是Mark Russionvich 开发的psfile。收集命令和历史记录 UNIX和Linux使用bash命令行shell来维护 bash的历史命令。 不幸的是Win os没有相应的功能,但可以从 cmd中使用doskey /history命令来找回存在 内存中的命令。识别共享 尽管恶意代码不会都会使用网络共享的方式 进行传播,单确实有一些样(W32/Bacalid 变形的文件感染器)能够识别并感染目标系 统共享文件夹中的文
9、件。检查计划任务 有些恶意代码变种是事件驱动的,这意味着 代码会一直潜伏在系统中,除非特定的日期 或者事件触发执行。 可以使用工具schtasks来确认发现计划任务 ,只用/Query选项显示所有的计划任务。收集剪贴板内容 在一个受到潜伏攻击的电脑上,传播方式还 不知道,这是剪贴板的内容可能为辨别这次 攻击的类型提供了一些潜在的重大线索。 我们可以通过pclip程序来检查目标系统中剪 贴板的具体内容。恶意软件事件响应:易失性数据收集与实 时Windows系统检查适用于Windows 的时间响应工具 套件易失性数 据收集方法建立实时 响应工具包从实时Windows 系统收集非易 失性数据从实时W
10、indows系统中收集非易失性数据 一般情况下取证人员不会直接访问实时系统 中的文件,因为这样可能会对存储的数据进 行了修改。 然后很多情况下,也需要对实时系统中的文 件数据或者注册表进行选择性的取证保存和 分析。 在实时Windows系统中对存储媒介进行司法 复制,对特定数据进行司法保存。恶意软件事件响应:易失性数据收集与实 时Windows系统检查适用于Windows 的时间响应工具 套件易失性数 据收集方法建立实时 响应工具包从实时Windows 系统收集非易 失性数据适用于Windows的时间响应工具套件 Windows Forensic Toolchest(WFT)通过 多种工具为一
11、致性信息收集提供了一个框架 。WFT可配置以自动方式或者特定的的顺 序来运行任何工具。WFT讲获取的的数据 生成MD5值,并为数据收集过程提供支撑 的审计信息报告。但WFT不能列举被删除 的文件,还有一个明显缺陷是其需要依赖受 害主机的操作系统。适用于Windows的时间响应工具套件 ProDiscoverIR是一款商业的取证工具 不依赖于目标操作系统,但要在目标系统中 运行代理程序适用于Windows的时间响应工具套件 OnlineDFS/LiveWire,在线数字取证工具套 件。 具备从远程计算机中获取易失性数据的能力 ,并且可以从远程计算机中获取目标系统的 整个内存转储以及整个硬盘的司法
12、拷贝。主要内容 前言 恶意软件事件响应 内存取证 事后取证 文件识别和构型 Windows平台下可疑软件分析Windows内存 取证工具机理内存取证提取Windows 进程内存数据内存取证 方法学传统内存 分析方法Windows内 存取证工具Windows进程 内存数据分析内存取证方法学 对内存取证与对存储介质取证的过程相似。 获取内存后,下一步就是还原数据,并对内 存中的元素数据解析以用于进一步分析。 内存取证的目的有:搜集信息、对每个可疑 进程深入分析。Windows内存 取证工具机理内存取证提取Windows 进程内存数据内存取证 方法学传统内存 分析方法Windows内 存取证工具Wi
13、ndows进程 内存数据分析传统内存分析方法 在内存工具发展之前,我们通常用strings工 具从内存中提取出可读文本内容,利用文件 提取工具从内存中恢复相关的可执行文件。 大多数strings的实现都是默认只提取ASCII 字符串,但是对Unicode字符串来说也应该 引起足够的重视。Windows内存 取证工具机理内存取证提取Windows 进程内存数据内存取证 方法学传统内存 分析方法Windows内 存取证工具Windows进程 内存数据分析Windows内存取证工具 由于不同Windows版本甚至不同补丁版本的内核 数据结构的差别,许多内存取证工具只支持特定 版本的Windows系统
14、。 深入分析内存印象。 活动的、为活动的和隐藏的进程。 进程内存 线程 模块和库 打开文件和套接字Windows内存 取证工具机理内存取证提取Windows 进程内存数据内存取证 方法学传统内存 分析方法Windows内 存取证工具Windows进程 内存数据分析Windows内存取证工具机理 虚拟内存地址Skl.exe EPROCESSDTB:0x0a039000PEB:0x7ffdf000(v)页表目录表 PDE# 511页表PTE# 991PEB0x0a0390000x0a1020000x0a0eb000图1 虚拟内存地址和物理地址的转换,然后找到进程sql.exe进程的PEB结构Win
15、dows内存取证工具机理 虚拟内存地址描述 位 二进制 十六进制 十进制 页表目录起始地址 3122 11111111 0x1ff 511 页表起始地址 2112 1111011111 0x3df 991 偏移地址 110 0 0x0 0表1 虚拟地址0x7ffdf0000的组成进程和线程 Win os中每个运行的进程都在内存中有一个 对应的EPRROCESS。进程和线程PEBPPEB_LDR_DATAPPS_POST_PROCESS_INIT_ROUTINEPRTL_USER_PROCESS_PARAMETERSInMemaryOrderModuleListCommandLineImagePathNameLDR_DATA_TABLE
