WEB开发网
开发学院网络安全黑客技术 国内资深黑客浅谈恶意代码的研究分析 阅读

国内资深黑客浅谈恶意代码的研究分析

 2008-06-05 16:48:23 来源:WEB开发网   
核心提示: 移动代码是能够从主机传输到客户端计算机上并执行的代码,它通常是作为病毒,国内资深黑客浅谈恶意代码的研究分析(3),蠕虫,或是特洛伊木马的一部分被传送到客户计算机上的,打开哪个端口,下载哪些文件,另外,移动代码可以利用系统的漏洞进行入侵

移动代码是能够从主机传输到客户端计算机上并执行的代码,它通常是作为病毒,蠕虫,或是特洛伊木马的一部分被传送到客户计算机上的。另外,移动代码可以利用系统的漏洞进行入侵,例如非法的数据访问和盗取root账号。通常用于编写移动代码的工具包括Java applets,ActiveX,JavaScript,和VBScript。

了解了恶意代码的基本概念后,叶子再跟大家一起来研究对恶意代码的分析流程。

◆首先,我们通过各种渠道收集到最新的未知恶意代码样本时,进行文件格式分析。通过PEID之类的工具进行文件格式检查,分析样本是否进行加壳处理?样本是何种语言编写的?以及是否有其它附加的数据等。样本经过加壳的程序,需要对其进行查壳,确定程序的加壳类型,并通过脱壳工具或手段进行脱壳,分析出程序的编程语言。如果无法查出壳类型,则认为是一个未知的壳,可以结合动态脱壳进行分析。另外通过PE文件的区段来确定是否有附加进去的数据。

◆接着,我们对样本文件的属性进行查看分析。查看样本的数字签名,排除伪造签名的情况。对于持有那些大公司的数字签名,可以通过文件属性中的相关信息进行查看分析。另外查看文件的文件属性,可以对文件的是否正常、或已被修改的情况进一步的分析。

接下来,我们对样本的行为进行分析,分析它的本地感染行为,以及网络传播行为。本地行为分析过程需要使用文件监视工具、注册表监视工具来确定恶意代码对系统做了哪些行为。通常情况下样本会释放出病毒体,并把它拷贝到系统目录下,而且通过添加注册表到系统启动项、系统服务启动、注入系统进程中等等方式。另外通过网络抓包工具(sniffer、IRIS等),分析其与哪个网站进行连接,打开哪个端口,下载哪些文件,执行哪些操作命令等等的过程。

上一页  1 2 3 4 5 6  下一页

Tags:国内 资深 黑客

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接