資源描述:
《《惡意代碼取證》ppt課件》由會(huì)員上傳分享,免費(fèi)在線(xiàn)閱讀,更多相關(guān)內(nèi)容在教育資源-天天文庫(kù)。
1���、惡意代碼取證韓承欽S310060109主要內(nèi)容前言惡意軟件事件響應(yīng)內(nèi)存取證事后取證文件識(shí)別和構(gòu)型Windows平臺(tái)下可疑軟件分析前言數(shù)量迅速增長(zhǎng),表現(xiàn)出“混合-威脅”特征�����,具有多種功能和多種不同的傳播方法����。nihaorr1.com/1.jsStuxnet病毒(震網(wǎng))利用惡意軟件去實(shí)施和隱藏犯罪的現(xiàn)象日益普遍,這就迫使需要更多的數(shù)字調(diào)查員參與到反病毒廠商和安全研究人員的領(lǐng)域中���,利用一些惡意軟件分析技術(shù)和工具來(lái)進(jìn)行惡意軟件分析。主要內(nèi)容前言惡意軟件事件響應(yīng)內(nèi)存取證事后取證文件識(shí)別和構(gòu)型Windows平臺(tái)下可疑軟件分析傳統(tǒng)靜態(tài)取證模型攻擊進(jìn)行中證據(jù)收集證據(jù)分析法律裁判攻擊發(fā)生檢測(cè)到
2���、攻擊備份證據(jù)原始證據(jù)分析結(jié)果傳統(tǒng)靜態(tài)取證模型動(dòng)態(tài)取證模型網(wǎng)絡(luò)及主機(jī)信息攻擊進(jìn)行中取證收集響應(yīng)系統(tǒng)網(wǎng)絡(luò)監(jiān)控法律制裁證據(jù)分析攻擊發(fā)生攻擊信息備份證據(jù)提交原始證據(jù)與分析結(jié)果惡意軟件事件響應(yīng):易失性數(shù)據(jù)收集與實(shí)時(shí)Windows系統(tǒng)檢查適用于Windows的時(shí)間響應(yīng)工具套件易失性數(shù)據(jù)收集方法建立實(shí)時(shí)響應(yīng)工具包從實(shí)時(shí)Windows系統(tǒng)收集非易失性數(shù)據(jù)建立實(shí)時(shí)響應(yīng)工具包進(jìn)行實(shí)時(shí)取證響應(yīng)時(shí)��,最重要的是要使用可信賴(lài)的工具從目標(biāo)系統(tǒng)中獲取數(shù)據(jù)�����。確定并記錄工具的依賴(lài)性����,這樣有利于了解使用一個(gè)工具時(shí),其將對(duì)其他文件進(jìn)行哪些訪問(wèn)�����,以及對(duì)系統(tǒng)造成哪些變化�����?��?梢允褂肈ependencyWalker或PEV
3�、iew之類(lèi)的PE文件分析��,已得到這些工具的文件依賴(lài)關(guān)系�。選擇好工具后,需要將工具放到實(shí)時(shí)響應(yīng)工具箱中���,創(chuàng)建工具套件的測(cè)試和驗(yàn)證系統(tǒng)最有效的方法是建立VMWare之類(lèi)的虛擬os來(lái)實(shí)現(xiàn)����。惡意軟件事件響應(yīng):易失性數(shù)據(jù)收集與實(shí)時(shí)Windows系統(tǒng)檢查適用于Windows的時(shí)間響應(yīng)工具套件易失性數(shù)據(jù)收集方法建立實(shí)時(shí)響應(yīng)工具包從實(shí)時(shí)Windows系統(tǒng)收集非易失性數(shù)據(jù)易失性數(shù)據(jù)的保存獲取整個(gè)內(nèi)存數(shù)據(jù):利用PsTools套件中的pslist程序獲取。從實(shí)時(shí)Windows系統(tǒng)中獲取整個(gè)內(nèi)存�����,最簡(jiǎn)單的放大就是從移動(dòng)存儲(chǔ)介質(zhì)中運(yùn)行dd命令來(lái)獲取整個(gè)物理內(nèi)存���。一些軟件:Helix(www.e-fen
4��、se.com/helix)�、Nigilant���;還有一些商用的遠(yuǎn)程取證工具:ProDiscoverIR�����、OnlineDFS/LiveWire已經(jīng)可以獲取遠(yuǎn)程系統(tǒng)的整個(gè)內(nèi)存數(shù)據(jù)����。搜集目標(biāo)系統(tǒng)的詳細(xì)信息系統(tǒng)日期和時(shí)間:shell中的date/t���、time/t命令,Win2003中的now命令���。系統(tǒng)標(biāo)識(shí)符:包括計(jì)算機(jī)名�、ip地址。whoami獲取系統(tǒng)用戶(hù)信息��,ver獲取os信息�����,ipconfig/all獲取IP地址信息��。網(wǎng)絡(luò)配置:老練的惡意軟件通過(guò)與遠(yuǎn)程控制端進(jìn)行VPN連接進(jìn)行通信以逃避入侵檢測(cè)軟件和其他網(wǎng)絡(luò)監(jiān)控系統(tǒng)����。工具Promiscdetect和Promqry是檢查這方面的利器。
5��、被激活的協(xié)議通過(guò)URLProtocolView程序來(lái)識(shí)別目標(biāo)系統(tǒng)已被激活的協(xié)議��。系統(tǒng)正常運(yùn)行時(shí)間如果能夠確定惡意軟件從被安裝之后目標(biāo)系統(tǒng)沒(méi)有重啟����,這非常重要?����?梢詮墓ぞ呦渲姓{(diào)用uptime程序(http://support.microsoft.com/kb/232243)。系統(tǒng)環(huán)境如操作系統(tǒng)版本���、補(bǔ)丁級(jí)別和硬件����?��?墒褂胮sinfo���、systeminfo、Dumpwin等工具來(lái)查詢(xún)系統(tǒng)可以獲得目標(biāo)環(huán)境和狀態(tài)的準(zhǔn)確快照���。識(shí)別登錄到當(dāng)前系統(tǒng)的用戶(hù)調(diào)查人員應(yīng)盡力獲取有關(guān)一下信息:用戶(hù)名登錄位置�����、登錄Session的持續(xù)時(shí)間���、該用戶(hù)訪問(wèn)的共享文件或其他資源、和該用戶(hù)關(guān)聯(lián)的進(jìn)程���、該用戶(hù)引
6�����、起的網(wǎng)絡(luò)活動(dòng)��。Psloggendon�,是包含在PsTools套件中的一個(gè)命令行接口程序���,可以來(lái)識(shí)別本地和遠(yuǎn)程登錄到目標(biāo)系統(tǒng)的用戶(hù)��。Quser����,這個(gè)程序可以用來(lái)顯示已登錄用戶(hù)名���、登錄的時(shí)間和日期��,以及session類(lèi)別及狀態(tài)等信息��。檢查網(wǎng)絡(luò)連接和活動(dòng)網(wǎng)絡(luò)連接情況����、最近的DNS請(qǐng)求��、目標(biāo)系統(tǒng)的NetBIOS名字表、ARP緩存以及內(nèi)部路由表�����。Netstat是各種Winos自帶的程序����,用來(lái)顯示目標(biāo)系統(tǒng)中目前已經(jīng)建立或者正在進(jìn)行監(jiān)聽(tīng)的socket連接。搜集進(jìn)程信息通常惡意軟件運(yùn)行時(shí)�,都在目標(biāo)系統(tǒng)中以進(jìn)程的形式表現(xiàn)出來(lái)。從最基本的信息進(jìn)程名和ID開(kāi)始����,搜集臨時(shí)上下文環(huán)境、內(nèi)存消耗����、可執(zhí)行
7、程序鏡像的進(jìn)程�、用戶(hù)鏡像的進(jìn)程、子進(jìn)程����、調(diào)用庫(kù)和依賴(lài)庫(kù)、用來(lái)創(chuàng)建進(jìn)程的命令行參數(shù)、相關(guān)聯(lián)的句柄����、進(jìn)程的內(nèi)存內(nèi)容、與系統(tǒng)狀態(tài)和殘留環(huán)境相關(guān)的上下文環(huán)境�。tlist程序�����、tasklist程序��、PRCView.exe��。關(guān)聯(lián)開(kāi)放端口及其活動(dòng)進(jìn)程端口掃描:使用nmap工具�����。通用端口(www.iana.org/assignment/port-numbers)�����。檢查服務(wù)和驅(qū)動(dòng)程序盡管服務(wù)對(duì)終端用戶(hù)是透明的����,在系統(tǒng)后臺(tái)運(yùn)行,惡意軟件也就可以以自運(yùn)行方式在后臺(tái)運(yùn)行,導(dǎo)致用戶(hù)難以發(fā)現(xiàn)����。Psservice是一個(gè)可以提供目標(biāo)系
