網路安全觀察者

在本教程中，我們將介紹動態惡意軟體分析工具，用於瞭解惡意軟體執行後的行為。本教程是我們惡意軟體分析教程中的第2部分。如果您尚未閱讀本系列的第1部分，請先閱讀本系列教程1，然後再繼續這一篇。

在本教程中，我們將介紹用於在虛擬機器中執行惡意軟體後分析活動的動態惡意軟體分析工具。我們將分別介紹Procmon，Process Explorer，Regshot，ApateDNS，Netcat，Wireshark以及INetSim等工具來進行惡意軟體的分析。動態惡意軟體分析通常是在靜態惡意軟體分析達到死衚衕後執行。例如，當惡意軟體打包或混淆時，你將很快就走到死衚衕。另外動態惡意軟體分析也是快速識別惡意軟體型別的好方法，如果你面臨勒索軟體，那麼你會在執行惡意軟體後快速瞭解到加密檔案和其強制付款方式。

必須要注意的一點是，動態惡意軟體分析很可能會使你的系統和網路面臨風險，因為你需要執行真正的惡意軟體來進而才能分析它的行為。 因此我們非常建議你僅在未連線到網際網路的隔離網路中的虛擬機器或專用系統上執行惡意軟體。 惡意軟體分析工具通常不需要網際網路連線，因為其有可用於模擬網際網路連線的伺服器工具。 本文中我們將重點介紹這些工具中的幾個。 當然即使我們在虛擬機器中執行惡意軟體，也不能保證主機或網路是完全安全的，因為惡意軟體開發人員總是會發現令人驚訝的新感染方式，並使惡意軟體分析更難進行下去。

 

01 Procmon

Procmon也被稱為Process Monitor，是一款系統程式監視軟體，總體來說，Process Monitor相當於Filemon+Regmon，其中的Filemon專門用來監視系統 中的任何檔案操作過程，而Regmon用來監視登錄檔的讀寫操作過程。 有了Process Monitor，使用者就可以對系統中的任何檔案和 登錄檔操作同時進行監視和記錄，通過登錄檔和檔案讀寫的變化， 對於幫助診斷系統故障或是發現惡意軟體、病毒或木馬來說，非常 有用。 這是一個高階的 Windows 系統和應用程式監視工具，由優秀的 Sysinternals 開發，並且目前已併入微軟旗下，可靠性自不用說。

 

 

Process Monitor常見功能分析：

Process Monitor 不僅結合了 Filemon（檔案監視器） 和 Regmon（登錄檔監視器） 兩個工具的功能，還具有以下一些增強：

 

監視程式和執行緒的啟動和退出，包括退出狀態程式碼
監視映像 (DLL 和核心模式驅動程式) 載入
捕獲更多輸入輸出引數操作
非破壞性的過濾器允許你自行定義而不會丟失任何捕獲的資料
捕獲每一個執行緒操作的堆疊，使得可以在許多情況下識別一個操作的根源
可靠捕獲程式詳細資訊，包括映像路徑、命令列、完整性、使用者和會話ID等等
完全可以自定義任何事件的屬性列
過濾器可以設定為任何資料條件，包括未在當前檢視中顯示的
高階的日誌機制，可記錄上千萬的事件，數GB的日誌資料
程式樹工具顯示所有程式的關係
原生的日誌格式，可將所有資料資訊儲存，讓另一個 Process Monitor 例項載入
程式懸停提示，可方便的檢視程式資訊
詳細的懸停提示資訊讓你方便的檢視列中不能完整顯示的資訊
搜尋可取消
系統引導時記錄所有操作

下載地址：Process Monitor

 

02 Process Explorer

Process Explorer是由Sysinternals開發的Windows系統和應用程式監視工具，目前已併入微軟旗下。不僅結合了Filemon（檔案監視器）和Regmon（登錄檔監視器）兩個工具的功能，還增加了多項重要的增強功能。包括穩定性和效能改進、強大的過濾選項、修正的程式樹對話方塊（增加了程式存活時間圖表）、可根據點選位置變換的右擊選單過濾條目、整合帶原始碼儲存的堆疊跟蹤對話方塊、更快的堆疊跟蹤、可在 64位 Windows 上載入 32位 日誌檔案的能力、監視映像（DLL和核心模式驅動程式）載入、系統引導時記錄所有操作等。

 

 

Process Explorer的獨特之處在於：

 

 

1.顯示被執行的映像檔案的完整路徑
2.顯示程式安全令牌
3.加亮顯示程式和執行緒列表中的變化
4.顯示作業中的程式，以及作業的細節
5.顯示執行。NET/WinFX應用的程式，以及與.NET相關的細節
6.顯示程式和執行緒的啟動時間
7.顯示記憶體對映檔案的完整列表
8.能夠掛起一個程式
9.能夠殺死一個執行緒

下載地址：Process Explorer

 

03 RegShot

RegShot 是一種登錄檔比較工具，它通過兩次抓取登錄檔而快速地比較出答案。它還可以將您的登錄檔以純文字方式記錄下來，便於瀏覽；還可以監察 Win.ini，System.ini 中的鍵值；還可以監察您 Windows 目錄和 System 目錄中檔案的變化，為您手工解除安裝某些軟體創造條件。

 

 

主要功能

 

1、可以掃描並儲存登錄檔的“快照”，並對兩次快照進行自動的對比，找出快照間存在的不同之處，結果可以儲存成txt或者是html文件

2、它的非壓縮版本體積為 29K，壓縮版(UPX)為 13K，在同類軟體中可謂是小巧玲瓏!

3、支援可以將您的登錄檔以純文字方式記錄下來，便於瀏覽；

4、支援監察 Win.ini，System.ini 中的鍵值；

5、支援監察您 Windows 目錄和 System 目錄中檔案的變化，為您手工解除安裝某些軟體創造條件。

使用方法

1、開啟Regshot，勾選"掃描"，點選“攝取[1]”，這樣就能記錄下當前登錄檔和資料夾的結構；

2、點選“攝取[2]”進行第二次快照；

3、點選“比較”按鈕，軟體就會自動開啟記事本，把對比的結果，使用文字的方式顯示出來；

4、如果需要再次比較，需要點選“清除”按鈕，之後再重複上述操作就行。

下載地址：regshot

 

04 ApateDNS

ApateDNS是一個用於控制DNS響應的工具，主要用在本地系統上的DNS伺服器。 ApateDNS可以將欺騙由惡意軟體生成的DNS請求到UDP埠53上的指定IP地址的DNS響應，比如執行靜態惡意軟體分析（例如通過檢查資源節）或使用沙箱。 ApateDNS還能夠使用NXDOMAIN引數恢復多個域，因為惡意軟體通常會嘗試連線到多個主機。

 

 

下載地址：https://www.fireeye.com/content/dam/fireeye-www/services/freeware/sdl-apatedns.zip

 

05 Netcat

Netcat能通過TCP和UDP在網路中讀寫資料，也被稱為網路安全中的“瑞士軍刀”，因為它提供了許多功能，比如埠掃描、埠轉發、檔案傳輸、目錄傳輸等等。

Netcat是執行動態惡意軟體分析的一個偉大的工具，因為它可以滿足惡意軟體分析師所需要的幾乎所有的網路連線。它還可用於在任何埠上進行入站和出站連線，並且可以在客戶端模式下用於連線，在伺服器模式下用於偵聽。

 

 

很多惡意軟體通過埠80（HTTP）和443（HTTPS）進行通訊，因為在大多數系統上，這些埠不會被防火牆阻止。當執行動態惡意軟體分析時，我們可以使用ApateDNS將由惡意軟體建立的DNS請求重定向到正在伺服器模式下執行Netcat的主機，偵聽指定埠上的指定IP地址。這樣，我們可以使用ApateDNS監視惡意軟體的請求，重定向請求和Netcat監視請求。在後續的動態惡意軟體分析教程中，我們將更詳細地介紹ApateDNS和Netcat的使用。

下載地址：Netcat for the 21st Century

 

06 Wireshark

Wireshark（前稱Ethereal）是一個網路封包分析軟體。網路封包分析軟體的功能是擷取網路封包，並儘可能顯示出最為詳細的網路封包資料。Wireshark使用WinPCAP作為介面，直接與網路卡進行資料包文交換。

 

 

網路封包分析軟體的功能可想像成 "電工技師使用電錶來量測電流、電壓、電阻" 的工作 – 只是將場景移植到網路上，並將電線替換成網路線。在過去，網路封包分析軟體是非常昂貴的，或是專門屬於盈利用的軟體。Wireshark的出現改變了這一切。在GNUGPL通用許可證的保障範圍底下，使用者可以以免費的代價取得軟體與其原始碼，並擁有針對其原始碼修改及客製化的權利。它是目前全世界最廣泛的網路封包分析軟體之一。

 

下載地址：Wireshark · Go Deep.

 

07 INetSim

INetSim是一個基於Linux的工具，主要用於惡意軟體分析，它可以模擬最常見的網際網路服務，如http、https、DNS、FTP以及其他的。在Windows機器上執行動態惡意軟體分析時，你可以使用和惡意軟體分析機器在同一網路中的虛擬機器來執行INetSim。 INetSim能夠偽造惡意軟體可能使用的常見的網際網路服務，並回答相應的請求。例如，當惡意軟體請求檔案時，INetSim將返回該檔案。當惡意軟體掃描Web伺服器時，INetSim將返回Microsoft IIS Web伺服器的名稱以保持惡意軟體執行。 INetSim還將記錄所有傳入的連線，以便你可以分析惡意軟體正在使用的服務及其發出的請求。 INetSim也是高度可配置的，當惡意軟體使用非標準埠作為服務時，你可以更改INetSim中特定服務的偵聽器埠。我們將在後續的惡意軟體分析教程中更詳細地介紹INetSim。

 

 

下載地址：INetSim: Internet Services Simulation Suite