利用ZeroWine进行恶意软件行为分析
2009-02-05 13:53:12 来源:WEB开发网 闂傚倸鍊搁崐鎼佸磹閹间礁纾归柟闂寸绾惧綊鏌熼梻瀵割槮缁炬儳缍婇弻鐔兼⒒鐎靛壊妲紒鐐劤缂嶅﹪寮婚悢鍏尖拻閻庨潧澹婂Σ顔剧磼閻愵剙鍔ょ紓宥咃躬瀵鎮㈤崗灏栨嫽闁诲酣娼ф竟濠偽i鍓х<闁诡垎鍐f寖闂佺娅曢幑鍥灳閺冨牆绀冩い蹇庣娴滈箖鏌ㄥ┑鍡欏嚬缂併劎绮妵鍕箳鐎n亞浠鹃梺闈涙搐鐎氫即鐛崶顒夋晬婵絾瀵ч幑鍥蓟閻斿摜鐟归柛顭戝枛椤牆顪冮妶搴′簼缂侇喗鎸搁悾鐑藉础閻愬秵妫冮崺鈧い鎺戝瀹撲礁鈹戦悩鎻掝伀缁惧彞绮欓弻娑氫沪閹规劕顥濋梺閫炲苯澧伴柟铏崌閿濈偛鈹戠€n€晠鏌嶆潪鎷屽厡闁汇倕鎳愮槐鎾存媴閸撴彃鍓卞銈嗗灦閻熲晛鐣烽妷褉鍋撻敐搴℃灍闁绘挻娲橀妵鍕箛闂堟稐绨肩紓浣藉煐濮樸劎妲愰幘璇茬闁冲搫鍊婚ˇ鏉库攽椤旂》宸ユい顓炲槻閻g兘骞掗幋鏃€鐎婚梺瑙勬儗閸樺€熲叺婵犵數濮烽弫鍛婃叏椤撱垹纾婚柟鍓х帛閳锋垶銇勯幒鍡椾壕缂備礁顦遍弫濠氱嵁閸℃稒鍊烽柛婵嗗椤旀劕鈹戦悜鍥╃У闁告挻鐟︽穱濠囨嚃閳哄啰锛滈梺褰掑亰閸欏骸鈻撳⿰鍫熺厸閻忕偟纭堕崑鎾诲箛娴e憡鍊梺纭呭亹鐞涖儵鍩€椤掑啫鐨洪柡浣圭墪閳规垿鎮欓弶鎴犱桓闂佸湱枪閹芥粎鍒掗弮鍫熷仺缂佸顕抽敃鍌涚厱闁哄洢鍔岄悘鐘绘煕閹般劌浜惧┑锛勫亼閸婃牠宕濋敃鈧…鍧楀焵椤掍胶绠剧€光偓婵犱線鍋楀┑顔硷龚濞咃絿妲愰幒鎳崇喓鎷犻懠鑸垫毐闂傚倷鑳舵灙婵炲鍏樺顐ゆ嫚瀹割喖娈ㄦ繝鐢靛У绾板秹寮查幓鎺濈唵閻犺櫣灏ㄥ銉р偓瑙勬尭濡繂顫忛搹鍦<婵☆垰鎼~宥囩磽娴i鍔嶉柟绋垮暱閻g兘骞嬮敃鈧粻濠氭偣閸パ冪骇鐎规挸绉撮—鍐Χ閸℃ê闉嶇紓浣割儐閸ㄥ墎绮嬪澶嬪€锋い鎺嶇瀵灝鈹戦埥鍡楃仯闁告鍕洸濡わ絽鍟崐鍨叏濡厧浜鹃悗姘炬嫹

Zero Wine是一个开源的(GPL v2)研究项目,用来对恶意软件的行为进行动态分析。实际上,Zero Wine只是使用WINE在一个安全的虚拟沙箱(也就是在一个隔离的环境中)运行恶意软件来收集该程序调用的API的有关信息。Wine使用调试环境变量WINEDEBUG来输出恶意软件调用过的API,当然也包括恶意软件所传递的值。有了这些信息,恶意软件的行为分析将变得非常轻松。 一、工作原理
Zero Wine是作为QEMU的虚拟机映像发行的,它带有一个已安装的Debian操作系统。这个虚拟机映像包括加载和分析恶意软件并根据收集到的信息生成报告的软件,该软件位于/home/malware/zerowine。通过正确的命令行选项运行该虚拟机,可以使用一个基于web的图形界面(一个使用Python语言编写的CGI)来加载要分析的恶意软件。
加载一个新的恶意软件的时候,会将其复制到/tmp/vir/MD5_OF_THE_FILE目录,以前创建的WINE环境会被删除,并对一个备份系统进行解压缩,该备份系统是/home/malware/backup/backup.tar.gz。加载后,会通过shell脚本malware_launcher.sh来执行这个恶意软件,此shell脚本存储在/home/malware/bin文件夹中。
需要注意的是,当前系统不允许一次分析一个以上的恶意软件,将来每当加载一个新的恶意软件文件的时候,它会放入一个队列以供今后分析之用,并且还将创建一个新的WINEPREFIX专门用于运行这个恶意软件。
二、使用QEMU运行虚拟机
使用QEMU运行虚拟机时必须提供一些必要的参数,最重要的一个参数就是 -redir tcp:8000::8000。这个参数将本地8000端口重定向到该虚拟机的8000端口。当然,您可以改变这个端口,不过要注意,在基于Unix/Linux的系统中不应该在端口80上运行它,因为这要求root权限,这会带来巨大的安全隐患:想像一下如果恶意软件逃离虚拟机并掌控了您的实际系统后会怎样。
赞助商链接