数种病毒样本格式:
1卡巴斯基式APT分析
具体到骨子里.有意图分析和模块关系.编写者特征等.IP溯源家常便饭.
2金山火眼式
- 基本信息
- 火焰点评
- 危急行为
- 其他行为
- 行为描写叙述
- 附加信息
- 注冊表监控
- 网络监控
值得注意的是火眼使用最多两种哈希来确定一个样本.当然你能够使用其一.
3Comodo(毛豆)在线分析式
这是一张典型的使用毛豆进行扫描的结果:
Comodo的通过SHA256来进行样本查询操作:
4.SysTracer的监控报告
这里应该简介一下SysTracer,它是一款行为追踪监控程序.”丧心病狂”地使用了大量的钩子:Shadow SSDT的667个函数所有被钩,SSDT也未能”幸免”,总共284个函数除了NtAcceptConnectPort,NtAddAtom,NtDeviceIoControlFile,NtYieldExecution外的280个函数所有被钩.这保证了一般恶意程序的行为会被完整地记录下来.
值得注意的一点是,以往的跟踪经验发现相互排斥对象的建立并没有被SysTracer记录.此外因为机制所限对于内核程序的行为SysTracer就素手无策了.
下面是它的监控报告:
如你所见,它将样本创建的不同进程的行为分门别类进行叙述.便于反病毒project师对样本的行为的清晰了解.假设再加上树形图怎么样?
分析
反APT式分析须要大量具有相关反APT专业知识的反病毒project师的增加.因此不适合普通恶意程序的分析.可是人工经验能够总结以使机器对普通恶意程序的分析也能做到部分效果.比如对恶意程序作者的编程指纹提取.假设做到机器分析更有助于所谓的对程序作者定位.
我们该怎样去做
首先我们应当对恶意程序进行归类.
1危害性
远程控制端是否有效?
还是这仅仅是一个遗失的定时炸弹?
一个失控的程序后门可能意味不论什么一个恶意者都可能利用这里控制恶意程序继续对用户信息安全带来威胁.
2技术实力-程序的自我保护与复杂程度
对方是否使用了行之有效的规避杀软的手法?
或者最新漏洞的利用?
强势的自我保护一般是为了掩盖很多其他的信息.也意味着制作者的团队规模非同平常.这往往伴随着大量的机器被感染甚至可能组成僵尸网络.
这种程序值得我们去用卡巴斯基式分析去探究.以使我们对样本研究给其他反病毒project师提供很多其他信息.