利用ZeroWine进行恶意软件行为分析

核心提示： 四、加壳软件总的说来，Zero Wine能够较好地运行恶意软件，利用ZeroWine进行恶意软件行为分析(4)，然而，当它遇到加壳软件时就会出现各种问题，并对Zero Wine生成的报告进行了相应的解释，最后介绍了在使用Zero Wine过程中需要注意的问题，例如wine几乎总是无法对付被

四、加壳软件

总的说来，Zero Wine能够较好地运行恶意软件，然而，当它遇到加壳软件时就会出现各种问题，例如wine几乎总是无法对付被Armadillo 加过壳的PE程序；并且，有时候“Report”和“Signature”这两个部分会同时收不到任何数据。好在“Headers”和“Strings”报告部分总能提供二进制文件（尽管不是恶意软件的行为）的有关信息。

五、对于Zero Wine的检测

对于WINE 环境的检测其实很简单。例如，可以通过注册表项HKLMSoftwareWine或者HKCUSoftwareWine来检测它。同时还可以检查所有的Windows关键系统文件的文件大小来进行检测。当运行在WINE中的时候，这些文件会小得令人难以置信，但是同样的文件在实际的Windows系统中却具有硕大的身躯。另外一种“高级”检测技术是，打开任意一个关键的Windows系统文件，并反编译入口点。当运行在WINE中的时候，反编译后将得到如下所示的一些简单指令：

.text:10001000 public start

.text:10001000 start proc near

.text:10001000 mov eax, 1

.text:10001005 retn 4

.text:10001005 start endp

对于比较懒惰的人来说，只需在.text:10001000中搜索二进制串B8 01 00 00 00 C2 04 00就可以了。

六、使用Zero Wine的危险性

首先请记住，在自己的计算机上运行恶意软件绝不是一个好主意。如果可能的话，要尽量将虚拟机（或物理机器）与现实世界隔离开来。有时候，我们迫不得已允许恶意软件连接现实世界，但请记住，这样做可能伤及无辜。更重要的是，您还必须记住，即使把WINE的沙箱配置成只能使用C盘，但是对于一个能够逸出WINE沙箱的恶意软件来说，它不仅能够跑到C盘之外，还能够波及您的物理计算机以及整个网络。

七、结束语

Zero Wine是一个开源的(GPL v2)研究项目，用来对恶意软件的行为进行动态分析。Zero Wine只是使用WINE在一个安全的虚拟沙箱(也就是在一个隔离的环境中）运行恶意软件来收集该程序调用的API的有关信息。Wine使用调试环境变量WINEDEBUG来输出恶意软件调用过的API，当然也包括恶意软件所传递的值。有了这些信息，恶意软件的行为分析将变得非常轻松。

本文详细介绍了Zero Wine的工作原理以及使用方法，并对Zero Wine生成的报告进行了相应的解释，最后介绍了在使用Zero Wine过程中需要注意的问题，希望本文对您的工作学习能够有所帮助。