資源描述:
《《惡意代碼取證》ppt課件》由會員上傳分享,免費在線閱讀,更多相關內(nèi)容在教育資源-天天文庫。
1、惡意代碼取證韓承欽S310060109主要內(nèi)容前言惡意軟件事件響應內(nèi)存取證事后取證文件識別和構(gòu)型Windows平臺下可疑軟件分析前言數(shù)量迅速增長,表現(xiàn)出“混合-威脅”特征,具有多種功能和多種不同的傳播方法。nihaorr1.com/1.jsStuxnet病毒(震網(wǎng))利用惡意軟件去實施和隱藏犯罪的現(xiàn)象日益普遍,這就迫使需要更多的數(shù)字調(diào)查員參與到反病毒廠商和安全研究人員的領域中,利用一些惡意軟件分析技術(shù)和工具來進行惡意軟件分析。主要內(nèi)容前言惡意軟件事件響應內(nèi)存取證事后取證文件識別和構(gòu)型Windows平臺下可疑軟件分析傳統(tǒng)靜態(tài)取證模型攻擊進行中證據(jù)收集證據(jù)分析法律裁判攻擊發(fā)生檢測到
2、攻擊備份證據(jù)原始證據(jù)分析結(jié)果傳統(tǒng)靜態(tài)取證模型動態(tài)取證模型網(wǎng)絡及主機信息攻擊進行中取證收集響應系統(tǒng)網(wǎng)絡監(jiān)控法律制裁證據(jù)分析攻擊發(fā)生攻擊信息備份證據(jù)提交原始證據(jù)與分析結(jié)果惡意軟件事件響應:易失性數(shù)據(jù)收集與實時Windows系統(tǒng)檢查適用于Windows的時間響應工具套件易失性數(shù)據(jù)收集方法建立實時響應工具包從實時Windows系統(tǒng)收集非易失性數(shù)據(jù)建立實時響應工具包進行實時取證響應時,最重要的是要使用可信賴的工具從目標系統(tǒng)中獲取數(shù)據(jù)。確定并記錄工具的依賴性,這樣有利于了解使用一個工具時,其將對其他文件進行哪些訪問,以及對系統(tǒng)造成哪些變化??梢允褂肈ependencyWalker或PEV
3、iew之類的PE文件分析,已得到這些工具的文件依賴關系。選擇好工具后,需要將工具放到實時響應工具箱中,創(chuàng)建工具套件的測試和驗證系統(tǒng)最有效的方法是建立VMWare之類的虛擬os來實現(xiàn)。惡意軟件事件響應:易失性數(shù)據(jù)收集與實時Windows系統(tǒng)檢查適用于Windows的時間響應工具套件易失性數(shù)據(jù)收集方法建立實時響應工具包從實時Windows系統(tǒng)收集非易失性數(shù)據(jù)易失性數(shù)據(jù)的保存獲取整個內(nèi)存數(shù)據(jù):利用PsTools套件中的pslist程序獲取。從實時Windows系統(tǒng)中獲取整個內(nèi)存,最簡單的放大就是從移動存儲介質(zhì)中運行dd命令來獲取整個物理內(nèi)存。一些軟件:Helix(www.e-fen
4、se.com/helix)、Nigilant;還有一些商用的遠程取證工具:ProDiscoverIR、OnlineDFS/LiveWire已經(jīng)可以獲取遠程系統(tǒng)的整個內(nèi)存數(shù)據(jù)。搜集目標系統(tǒng)的詳細信息系統(tǒng)日期和時間:shell中的date/t、time/t命令,Win2003中的now命令。系統(tǒng)標識符:包括計算機名、ip地址。whoami獲取系統(tǒng)用戶信息,ver獲取os信息,ipconfig/all獲取IP地址信息。網(wǎng)絡配置:老練的惡意軟件通過與遠程控制端進行VPN連接進行通信以逃避入侵檢測軟件和其他網(wǎng)絡監(jiān)控系統(tǒng)。工具Promiscdetect和Promqry是檢查這方面的利器。
5、被激活的協(xié)議通過URLProtocolView程序來識別目標系統(tǒng)已被激活的協(xié)議。系統(tǒng)正常運行時間如果能夠確定惡意軟件從被安裝之后目標系統(tǒng)沒有重啟,這非常重要。可以從工具箱中調(diào)用uptime程序(http://support.microsoft.com/kb/232243)。系統(tǒng)環(huán)境如操作系統(tǒng)版本、補丁級別和硬件??墒褂胮sinfo、systeminfo、Dumpwin等工具來查詢系統(tǒng)可以獲得目標環(huán)境和狀態(tài)的準確快照。識別登錄到當前系統(tǒng)的用戶調(diào)查人員應盡力獲取有關一下信息:用戶名登錄位置、登錄Session的持續(xù)時間、該用戶訪問的共享文件或其他資源、和該用戶關聯(lián)的進程、該用戶引
6、起的網(wǎng)絡活動。Psloggendon,是包含在PsTools套件中的一個命令行接口程序,可以來識別本地和遠程登錄到目標系統(tǒng)的用戶。Quser,這個程序可以用來顯示已登錄用戶名、登錄的時間和日期,以及session類別及狀態(tài)等信息。檢查網(wǎng)絡連接和活動網(wǎng)絡連接情況、最近的DNS請求、目標系統(tǒng)的NetBIOS名字表、ARP緩存以及內(nèi)部路由表。Netstat是各種Winos自帶的程序,用來顯示目標系統(tǒng)中目前已經(jīng)建立或者正在進行監(jiān)聽的socket連接。搜集進程信息通常惡意軟件運行時,都在目標系統(tǒng)中以進程的形式表現(xiàn)出來。從最基本的信息進程名和ID開始,搜集臨時上下文環(huán)境、內(nèi)存消耗、可執(zhí)行
7、程序鏡像的進程、用戶鏡像的進程、子進程、調(diào)用庫和依賴庫、用來創(chuàng)建進程的命令行參數(shù)、相關聯(lián)的句柄、進程的內(nèi)存內(nèi)容、與系統(tǒng)狀態(tài)和殘留環(huán)境相關的上下文環(huán)境。tlist程序、tasklist程序、PRCView.exe。關聯(lián)開放端口及其活動進程端口掃描:使用nmap工具。通用端口(www.iana.org/assignment/port-numbers)。檢查服務和驅(qū)動程序盡管服務對終端用戶是透明的,在系統(tǒng)后臺運行,惡意軟件也就可以以自運行方式在后臺運行,導致用戶難以發(fā)現(xiàn)。Psservice是一個可以提供目標系