WEB开发网
开发学院网络安全安全技术 利用ZeroWine进行恶意软件行为分析 阅读

利用ZeroWine进行恶意软件行为分析

 2009-02-05 13:53:12 来源:WEB开发网   
核心提示: 四、加壳软件总的说来,Zero Wine能够较好地运行恶意软件,利用ZeroWine进行恶意软件行为分析(4),然而,当它遇到加壳软件时就会出现各种问题,并对Zero Wine生成的报告进行了相应的解释,最后介绍了在使用Zero Wine过程中需要注意的问题,例如wine几乎总是无法对付被

四、加壳软件

总的说来,Zero Wine能够较好地运行恶意软件,然而,当它遇到加壳软件时就会出现各种问题,例如wine几乎总是无法对付被Armadillo 加过壳的PE程序;并且,有时候“Report”和“Signature”这两个部分会同时收不到任何数据。好在“Headers”和“Strings”报告部分总能提供二进制文件(尽管不是恶意软件的行为)的有关信息。

五、对于Zero Wine的检测

对于WINE 环境的检测其实很简单。例如,可以通过注册表项HKLMSoftwareWine或者HKCUSoftwareWine来检测它。同时还可以检查所有的Windows关键系统文件的文件大小来进行检测。当运行在WINE中的时候,这些文件会小得令人难以置信,但是同样的文件在实际的Windows系统中却具有硕大的身躯。另外一种“高级”检测技术是,打开任意一个关键的Windows系统文件,并反编译入口点。当运行在WINE中的时候,反编译后将得到如下所示的一些简单指令:

.text:10001000 public start

.text:10001000 start proc near

.text:10001000 mov eax, 1

.text:10001005 retn 4

.text:10001005 start endp

对于比较懒惰的人来说,只需在.text:10001000中搜索二进制串B8 01 00 00 00 C2 04 00就可以了。

六、使用Zero Wine的危险性

首先请记住,在自己的计算机上运行恶意软件绝不是一个好主意。如果可能的话,要尽量将虚拟机(或物理机器)与现实世界隔离开来。有时候,我们迫不得已允许恶意软件连接现实世界,但请记住,这样做可能伤及无辜。更重要的是,您还必须记住,即使把WINE的沙箱配置成只能使用C盘,但是对于一个能够逸出WINE沙箱的恶意软件来说,它不仅能够跑到C盘之外,还能够波及您的物理计算机以及整个网络。

七、结束语

Zero Wine是一个开源的(GPL v2)研究项目,用来对恶意软件的行为进行动态分析。Zero Wine只是使用WINE在一个安全的虚拟沙箱(也就是在一个隔离的环境中)运行恶意软件来收集该程序调用的API的有关信息。Wine使用调试环境变量WINEDEBUG来输出恶意软件调用过的API,当然也包括恶意软件所传递的值。有了这些信息,恶意软件的行为分析将变得非常轻松。

本文详细介绍了Zero Wine的工作原理以及使用方法,并对Zero Wine生成的报告进行了相应的解释,最后介绍了在使用Zero Wine过程中需要注意的问题,希望本文对您的工作学习能够有所帮助。

上一页  1 2 3 4 

Tags:利用 ZeroWine 进行

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接