病毒分析的基础流程、报告编写、特征提取

基础流程
- 静态分析
- - 文件类型
  - API信息
  - 字符串提取
  - 壳检测
  - 反汇编
- 动态分析
- - 虚拟机
  - 注册表检测
  - 文件操作检测
  - 进程检测
  - 网络检测
  - 动态调试
常用工具
- 反汇编
- 网络监听
- 行为分析
- 脱壳工具
- 其他
- - WinMD5
  - Strings
报告编写
- 样本信息
- 样本行为
- 查杀清除工作
- 关联溯源
特征提取
- 静态特征
- YARA特征
- 病毒名特征
- 敏感信息特征
- - 注册表、服务名
  - 网络数据
  - 互斥体
  - 动态行为

基础流程

当我们拿到一个样本的时候，可以尝试将样本的MD5、SHA1等基础特征信息在各类反病毒引擎扫描平台进行检测识别。[如果是涉密样本，则不建议将其上传到公开的扫描平台进行检测。]

这样做的目的主要是想着从反病毒扫描引擎平台的结果对样本的类型进行一个初步的判研。常见的恶意样本类型主要有：后门、僵尸网络、下载器、勒索程序、蠕虫病毒、启动器、间谍监听程序等等。

如果能够初步判定样本的类型，后续的分析工作也可以根据样本的类型进行侧重分析。

静态分析

文件类型

Windows PE样本、Linux ELF、bat批处理、Android APP、JavaScript、PowerShell、Shell脚本等等。

API信息

字符串提取

壳检测

恶意样本为了对抗反病毒引擎检测，会在自身样本的基础上加壳。如果我们需要对样本进行分析的话，需要根据样本加壳情况进行相应的脱壳处理，只有这样才能进行下一步的分析工作。

常见的壳主要分为

压缩壳：UPX、ASPack、PECompact
加密壳：ASProtect、Themida、Armadillo

在日常分析运营工作中，可以尝试提取各类壳的特征信息。从而通过编写自动化脚本批量处理加壳样本，提高分析效率。比如：通过Python的pefile库、YARA特征等等。

查壳工具：Peid、FFIcoustmtk、Exeinfo PE 等等
脱壳工具：UPXUnPacKer、ASPack unpacker 等等

反汇编

动态分析

虚拟机

为了防止分析环境被各种因素干扰，我们一般都会在虚拟机里动态执行样本配合行为检测工具，从而观察其行为。当然，为了后续分析环境不被污染，每次动态执行样本后，我们都需要将虚拟机的镜像还原。

注册表检测

RegMon是注册表数据监视软件，它将与注册表数据相关的一切操作（如读取、修改、出错信息等）全部记录下来供用户参考，并允许用户对记录的信息进行保存、过滤、查找等处理。

文件操作检测

FileMon是一款出色的文件系统监视软件，它可以监视应用程序进行的文件读写操作。

进程检测

ProcView是一款进程查看器，提供进程终止和列出扩展窗口属性等有用的功能。

网络检测

在样本动态执行观察的过程中，我们可以提前部署好网络监听工具。通过对数据包交互进行分析。比如：我们在分析一个Download恶意样本的时候，在其执行起来后，直接通过数据交互中的链接提取关键的URL，下载主样本进行分析。

动态调试

常用工具

反汇编

IDA Pro、OllyDbg、WinDbg

网络监听

Wireshark、tcpdump、BrupSuite、Http Analyzer、TcpView

行为分析

火绒剑

脱壳工具

其他

WinMD5

Strings

通过这个工具可以提取样本的的字符串信息，根据字符串规则检测是否存在敏感字符串。

报告编写

样本信息

文件名称、文件大小、病毒名称、MD5、SHA1、CRC、事件类型、分析时间、分析人员、分析环境

样本行为

根据对样本分析，用比较精简的话描述下样本执行后主要做了什么。在条件允许的情况下，试着通过流程图的形式还原样本执行的整个过程。针对比较敏感的行为进行详细标注，从报告浏览者的角度去考量，尽可能在报告中提供关于该样本的信息。

查杀清除工作

提供样本的查杀特征，用于后续设备的病毒清除工作。

关联溯源

部分事件型样本则需要根据样本提取的IOC特征进行下一步的关联溯源。比如：从样本的病毒名、代码结构、c&c、url链接、交互IP等特征进行情报关联。

特征提取

静态特征

MD5、PDB、文件图标、导入\导出表、时间戳、入口点、版本信息、节名。在具备这些静态特征组合的情况下，即便是面对大量待处理样本，也能够通过脚本自动化快速处理掉一批样本。

YARA特征

病毒名特征

敏感信息特征

注册表、服务名

比如：后门样本为了驻留系统实现自启动而创建的注册表项名称和键值，亦或者系统服务名称。针对这种特殊表项名称和键值、服务名均可酌情将其添加到特征合集中。

样本的特征字符串可以通过strings工具进行扫描dump出来进行二次匹配筛选。

网络数据

当恶意样本产生网络行为交互的时候，目标IP、端口、数据内容、数据长度、传输协议类型、回传指令都有可能成为特征的一部分。

我们通过前面提到的网络检测工具，截获样本产生的数据包，对其进行解包分析，按照需求提取特征。

互斥体

部分同源样本在创建互斥体名的时候会一定规律，根据互斥体名的组合规律建立特征，也可以一定程度的协助我们筛选分析噪点样本。

动态行为

主要是记录样本在动态执行的过程中的API组合操作。

信息安全 | 病毒分析的基础流程、报告编写、特征提取相关推荐

头歌-信息安全-病毒分析与防御
网络爬虫病毒查杀与防御编程要求由于目前各大网站的反爬虫技术日益完善,因此此处提供一个本地 HTML 文件,保存了用户登录后的页面数据. 要求用户使用本地 index.html 文件完成页面解析,实 ...
Virut.ce-感染型病毒分析报告
1.样本概况病毒名称 Virus.Win32.Virut.ce MD5 6A500B42FC27CC5546079138370C492F 文件大小 131 KB (134,144 字节) 壳信息无 ...
病毒分析报告-熊猫烧香
分析报告样本名 Worm.Win32.Fujack.p 时间 2017-5-27 平台 Windows 10 病毒分析报告目录 1．样本概况 3 1.1 样本信息 3 1.2 测试环境 ...
android.troj.opfake.a病毒,FakeMsdMiner挖矿病毒分析报告
原标题:FakeMsdMiner挖矿病毒分析报告近日,亚信安全截获新型挖矿病毒FakeMsdMiner,该病毒利用永恒之蓝,永恒浪漫等NSA漏洞进行攻击传播.该病毒具有远控功能,可以获取系统敏感信息 ...
模板类的析构函数如何写_如何写财务分析报告？全套财务分析报告模板（含分析方法及流程）...
如何写财务分析报告?全套财务分析报告模板(含分析方法及流程),免费模板可领取. 很多财务人员,会做账,会做各种报表,会纳税申报,但一遇到要做财务分析报告就会犯愁,一是不知道财务分析的流程,二是不知道从 ...
Morto蠕虫病毒分析报告
文章目录样本信息病毒现场复现分析过程 Loader部分 Payload部分病毒查杀样本信息名称:cache.txt SHA1:a5f83e3baae0df2cdcf5b7e9e862705 ...
计算机基础知识实验结果及分析,计算机大学计算机基础实验报告.doc
计算机大学计算机基础实验报告计算机__大学计算机基础实验报告 2012 年 12 月 13日姓名学号年级2012级专业班级2班实验题目:文件与文件夹的管理实验目的: 1.熟练掌握资源管理 ...
计算机应用基础试卷分析报告,试卷分析计算机应用基础
试卷分析计算机应用基础 2010-2011第二学期试卷分析考试课程:计算机应用基础考试人数:44人参加班级:10级计1班2班学生考试时间:20XX年07月3日,共1场,150分钟考试形式:上 ...
2021爱分析·云计算厂商全景报告
报告编委 **报告指导人 ** 李喆爱分析首席分析师 **报告执笔人 ** 郭佳伶爱分析分析师李书娴爱分析分析师目录 \1. 研究范围定义 \2. 甲方云计算需求 \3. 全场景地图 ...

信息安全 | 病毒分析的基础流程、报告编写、特征提取