[原创]病毒行为分析的一些想法-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]病毒行为分析的一些想法

2013-11-29 16:35 29243

[原创]病毒行为分析的一些想法

小Biy

2013-11-29 16:35

29243

    论坛里有很多都是反汇编的大牛，拿到一个病毒样本，可以毫无压力进行人工分析。鄙人虽然在本科学习过病毒分析，但是真正实战分析病毒样本的时间还不到半年，而且还并不是专职分析（夹杂开发的任务），所以，对于人工病毒分析，没有太多可以分享的。目前自己在做关于病毒行为分析的一些工作，在这里谈谈自己对于病毒行为分析的一些想法。

    目前病毒分析主要分析两种，一种是人工分析，主要包括静态调试和动态调试，常用的工具主要包括IDA Pro和Ollydbg，以及一些壳分析的工具。一般来说，人工分析可以很彻底的分析这个程序，缺点也是显而易见，效率太低，对于病毒分析师的技术要求也是比较高。另外一种就是自动化的分析工具，主要包括一些沙箱工具、虚拟化的工具等，商业化的做的比较好的包括金山沙盒（现在毒霸没有这个功能），金山火眼等，开源的行为分析工具有Capture BAT ，ZeroWine等，优点是可以获取样本运行的行为记录，但同时不足包括：获取的行为不全（某些行为需要特定条件、特定操作触发等），行为分析方法不健全等。

    人工分析就不多讲了，论坛中的大牛不胜其数。现在就讲讲自动化的分析工具，可能你会问，什么样的情况下，需要获取样本的行为呢？一个是某些程序通过本地的杀毒软件，并不能判断它是否是病毒，于是一些厂商就通过将样本上传到服务器进行鉴定，其中的鉴定可能就包括行为分析，通过样本的行为判断该程序是不是病毒，另外就是对病毒样本进行统计分析和分类，通过对行为进行分析，判断该样本是那种病毒等等。

    目前对于行为分析，公开的成熟的模型并没有，可以参考的模型是IDS行为判别模型，通过建立规则库，对获取的行为进行标准化，并与规则库进行比对，判断行为。这是初步的模型，虽然这个初步的模型都不成熟。但是一些验证工作和建模工作都还在继续。规则库的一个弊端就是对于不在规则库中的行为，是无法鉴别，这样又陷入了早期病毒分析的“特征库”的瓶颈中。后续的提升性能的研究方向，包括虚拟化环境的完善，以及提升行为鉴别能力。

    第一次发言，能分享的东西不多，行为分析软件推荐Zerowine，网站：http://zerowine.sourceforge.net/
    zerowine安装：http://blog.sina.com.cn/s/blog_624a83600101qmmp.html

    附金山毒霸早期版本的沙盒（先启动毒霸，再启动沙盒）：http://pan.baidu.com/s/149kUe

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法

收藏・5

免费・0

打赏

最新回复 (18)
代码疯子雪币： 270 活跃值： (97) 能力值： ( LV8，RANK：140 ) 在线值：发帖 22 回帖 423 粉丝 1 关注私信	代码疯子 3 2013-11-29 16:42 2 楼 0 网上的自动化分析系统有很多，但是公开的都不是很好
whnet 雪币： 185 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 1029 粉丝 0 关注私信	whnet 2013-11-29 18:23 3 楼 0 为何搞这么大的字体。。。
gotmilk 雪币： 144 活跃值： (46) 能力值： ( LV6，RANK：90 ) 在线值：发帖 6 回帖 214 粉丝 1 关注私信	gotmilk 2 2013-11-29 19:18 4 楼 0 marl 待会看
hbcld 雪币： 43 活跃值： (35) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 238 粉丝 0 关注私信	hbcld 2013-11-29 19:20 5 楼 0 自动化分析应该是趋势，代码量越来越大，人工分析精力肯定跟不上
Pathfinder 雪币： 912 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 54 粉丝 0 关注私信	Pathfinder 2013-11-29 23:30 6 楼 0 樓主這麼大的字體我看著很舒服,好!字太小了看著吃力啊
Aipsa 雪币： 19 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 12 回帖 122 粉丝 0 关注私信	Aipsa 2013-11-30 02:14 7 楼 0 天天写烂尾工程的我都不好意思分析了。。。
地狱怪客雪币： 341 活跃值： (133) 能力值： ( LV7，RANK：110 ) 在线值：发帖 23 回帖 1126 粉丝 10 关注私信	地狱怪客 2 2013-11-30 08:25 8 楼 0 不错哦。。了解了解。。。
heidongqi 雪币： 56 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 63 粉丝 0 关注私信	heidongqi 2013-11-30 17:17 9 楼 0 其实现在很多毒一运行就会判断环境，比如是否处于虚拟机中，是否有监控软件，是否有处于分析沙盘等软件中。如果在就不运行恶意代码。甚至现在有些壳就具有这样的功能，鄙人不才就写过一个这样的壳。这种程序用自动分析软件分析，怎么都是正常的。。。一拿到系统中运行就呵呵了
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 2013-11-30 17:48 10 楼 0 现在哪家不是以自动分析为主啊……不过分析一些特殊的的程序主力还是人工……
nullily 雪币： 14 活跃值： (24) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 61 粉丝 0 关注私信	nullily 2013-12-2 11:50 11 楼 0 谢谢搂主正在找这方面的东西！希望有机会可以交流一下！
小Biy 雪币： 3 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 15 粉丝 0 关注私信	小Biy 1 2013-12-10 20:08 12 楼 0 看起来内容显得比较多，O(∩_∩)O~
小Biy 雪币： 3 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 15 粉丝 0 关注私信	小Biy 1 2013-12-10 20:11 13 楼 0 看起来内容显得比较多，O(∩_∩)O~
小Biy 雪币： 3 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 15 粉丝 0 关注私信	小Biy 1 2013-12-10 20:13 14 楼 0 反虚拟机反沙箱反调试都是趋势，多多交流多多交流
小Biy 雪币： 3 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 15 粉丝 0 关注私信	小Biy 1 2013-12-10 20:18 15 楼 0 多多交流，有两篇文章推荐给你，可以看看：《恶意代码检测与分类技术研究》 http://www.cnki.net/KCMS/detail/detail.aspx?QueryID=2&CurRec=2&recid=&filename=1011251894.nh&dbname=CMFDLAST2012&dbcode=CMFD&pr=&urlid=&yx=&uid=WEEvREcwSlJHSldRa1FiK0ZPWENTZU5XYThpV0pVSFI4Qy9kZTRnaGtoTjdud1l2VUhWc01LTFVxS1poR3NrPQ==&v=MjQxODIyNkg3RzlIOW5GcTVFYlBJUjhlWDFMdXhZUzdEaDFUM3FUcldNMUZyQ1VSTG1lWmVkdkZDbmxWci9BVkY= 《恶意代码动态分析技术的研究与实现》 http://www.cnki.net/KCMS/detail/detail.aspx?QueryID=7&CurRec=1&recid=&filename=2009166703.nh&dbname=CMFD0911&dbcode=CMFD&pr=&urlid=&yx=&uid=WEEvREcwSlJHSldRa1FiK0ZPWENTZU5XYThpV0pVSFI4Qy9kZTRnaGtoTjdud1l2VUhWc01LTFVxS1poR3NrPQ==&v=MjI1NzhSOGVYMUx1eFlTN0RoMVQzcVRyV00xRnJDVVJMbWVaZWR2RkNubFZMN05WMTI3RjdLK0dOYk1ySkViUEk= 一篇是介绍行为特征描述，一篇是介绍恶意行为建模方法
heidongqi 雪币： 56 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 63 粉丝 0 关注私信	heidongqi 2013-12-11 15:45 16 楼 0 嗯，现在大多数行为分析软件都把注意力集中在了分析行为上，而没有想到隐藏自己上，这类软件如果能被检测到，行为分析就没有意义。就拿我的壳来说，运行加壳后的程序，会识别这类软件，一旦发现了，就不会解密数据，而会弹窗提示“请不要在某某下运行本程序”，然后退出程序。现在已经能检测出大多数常见的沙盘和行为分析软件，因为很多网站都是虚拟机的所以没有检测虚拟机。并且能够识别出杀软的虚拟机脱壳引擎。不过这壳的兼容性现在还有问题，要考虑的东西太多了（不好弄）。前面说了攻击方，说说防御方吧我没写过行为分析软件，以下是我猜的，如果错了，请指出。现在主流的沙盘和行为分析软件基本上都已经成型了，如果再去考虑隐藏本身不被被监控程序发现的话，真的很多地方都要改同样不好弄。所以这类软件我觉得在设计的时候就应该把隐藏本身考虑进去。
lovelyday 雪币： 31 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 169 粉丝 0 关注私信	lovelyday 2013-12-17 23:21 17 楼 0 可以用真机来做行为分析，只是自动化的难度貌似比较高
lovelyday 雪币： 31 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 169 粉丝 0 关注私信	lovelyday 2013-12-20 12:57 18 楼 0 表示杀软一般内部用的行为分析的工具都是不外泄的，就是为了防止被检测，只要外面不知道，那们病毒基本上没法发现监控程序
Aaah 雪币： 182 活跃值： (111) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 232 粉丝 0 关注私信	Aaah 2013-12-26 10:25 19 楼 0 我一直以为分析病毒大家用的都是N年前瑞星漏出出去的黑镜头或是SDS，要不然就是现在的火绒剑呢当然老外用pin
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

小Biy

发帖

回帖

RANK

关注

私信

他的文章

[原创]树莓派上手小记

[原创]病毒行为分析的一些想法

关于我们

联系我们

企业服务

看雪公众号

最新回复 (18)
代码疯子雪币： 270 活跃值： (97) 能力值： ( LV8，RANK：140 ) 在线值：发帖 22 回帖 423 粉丝 1 关注私信	代码疯子 3 2013-11-29 16:42 2 楼 0 网上的自动化分析系统有很多，但是公开的都不是很好
whnet 雪币： 185 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 1029 粉丝 0 关注私信	whnet 2013-11-29 18:23 3 楼 0 为何搞这么大的字体。。。
gotmilk 雪币： 144 活跃值： (46) 能力值： ( LV6，RANK：90 ) 在线值：发帖 6 回帖 214 粉丝 1 关注私信	gotmilk 2 2013-11-29 19:18 4 楼 0 marl 待会看
hbcld 雪币： 43 活跃值： (35) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 238 粉丝 0 关注私信	hbcld 2013-11-29 19:20 5 楼 0 自动化分析应该是趋势，代码量越来越大，人工分析精力肯定跟不上
Pathfinder 雪币： 912 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 54 粉丝 0 关注私信	Pathfinder 2013-11-29 23:30 6 楼 0 樓主這麼大的字體我看著很舒服,好!字太小了看著吃力啊
Aipsa 雪币： 19 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 12 回帖 122 粉丝 0 关注私信	Aipsa 2013-11-30 02:14 7 楼 0 天天写烂尾工程的我都不好意思分析了。。。
地狱怪客雪币： 341 活跃值： (133) 能力值： ( LV7，RANK：110 ) 在线值：发帖 23 回帖 1126 粉丝 10 关注私信	地狱怪客 2 2013-11-30 08:25 8 楼 0 不错哦。。了解了解。。。
heidongqi 雪币： 56 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 63 粉丝 0 关注私信	heidongqi 2013-11-30 17:17 9 楼 0 其实现在很多毒一运行就会判断环境，比如是否处于虚拟机中，是否有监控软件，是否有处于分析沙盘等软件中。如果在就不运行恶意代码。甚至现在有些壳就具有这样的功能，鄙人不才就写过一个这样的壳。这种程序用自动分析软件分析，怎么都是正常的。。。一拿到系统中运行就呵呵了
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 2013-11-30 17:48 10 楼 0 现在哪家不是以自动分析为主啊……不过分析一些特殊的的程序主力还是人工……
nullily 雪币： 14 活跃值： (24) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 61 粉丝 0 关注私信	nullily 2013-12-2 11:50 11 楼 0 谢谢搂主正在找这方面的东西！希望有机会可以交流一下！
小Biy 雪币： 3 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 15 粉丝 0 关注私信	小Biy 1 2013-12-10 20:08 12 楼 0 看起来内容显得比较多，O(∩_∩)O~
小Biy 雪币： 3 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 15 粉丝 0 关注私信	小Biy 1 2013-12-10 20:11 13 楼 0 看起来内容显得比较多，O(∩_∩)O~
小Biy 雪币： 3 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 15 粉丝 0 关注私信	小Biy 1 2013-12-10 20:13 14 楼 0 反虚拟机反沙箱反调试都是趋势，多多交流多多交流
小Biy 雪币： 3 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 15 粉丝 0 关注私信	小Biy 1 2013-12-10 20:18 15 楼 0 多多交流，有两篇文章推荐给你，可以看看：《恶意代码检测与分类技术研究》 http://www.cnki.net/KCMS/detail/detail.aspx?QueryID=2&CurRec=2&recid=&filename=1011251894.nh&dbname=CMFDLAST2012&dbcode=CMFD&pr=&urlid=&yx=&uid=WEEvREcwSlJHSldRa1FiK0ZPWENTZU5XYThpV0pVSFI4Qy9kZTRnaGtoTjdud1l2VUhWc01LTFVxS1poR3NrPQ==&v=MjQxODIyNkg3RzlIOW5GcTVFYlBJUjhlWDFMdXhZUzdEaDFUM3FUcldNMUZyQ1VSTG1lWmVkdkZDbmxWci9BVkY= 《恶意代码动态分析技术的研究与实现》 http://www.cnki.net/KCMS/detail/detail.aspx?QueryID=7&CurRec=1&recid=&filename=2009166703.nh&dbname=CMFD0911&dbcode=CMFD&pr=&urlid=&yx=&uid=WEEvREcwSlJHSldRa1FiK0ZPWENTZU5XYThpV0pVSFI4Qy9kZTRnaGtoTjdud1l2VUhWc01LTFVxS1poR3NrPQ==&v=MjI1NzhSOGVYMUx1eFlTN0RoMVQzcVRyV00xRnJDVVJMbWVaZWR2RkNubFZMN05WMTI3RjdLK0dOYk1ySkViUEk= 一篇是介绍行为特征描述，一篇是介绍恶意行为建模方法
heidongqi 雪币： 56 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 63 粉丝 0 关注私信	heidongqi 2013-12-11 15:45 16 楼 0 嗯，现在大多数行为分析软件都把注意力集中在了分析行为上，而没有想到隐藏自己上，这类软件如果能被检测到，行为分析就没有意义。就拿我的壳来说，运行加壳后的程序，会识别这类软件，一旦发现了，就不会解密数据，而会弹窗提示“请不要在某某下运行本程序”，然后退出程序。现在已经能检测出大多数常见的沙盘和行为分析软件，因为很多网站都是虚拟机的所以没有检测虚拟机。并且能够识别出杀软的虚拟机脱壳引擎。不过这壳的兼容性现在还有问题，要考虑的东西太多了（不好弄）。前面说了攻击方，说说防御方吧我没写过行为分析软件，以下是我猜的，如果错了，请指出。现在主流的沙盘和行为分析软件基本上都已经成型了，如果再去考虑隐藏本身不被被监控程序发现的话，真的很多地方都要改同样不好弄。所以这类软件我觉得在设计的时候就应该把隐藏本身考虑进去。
lovelyday 雪币： 31 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 169 粉丝 0 关注私信	lovelyday 2013-12-17 23:21 17 楼 0 可以用真机来做行为分析，只是自动化的难度貌似比较高
lovelyday 雪币： 31 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 169 粉丝 0 关注私信	lovelyday 2013-12-20 12:57 18 楼 0 表示杀软一般内部用的行为分析的工具都是不外泄的，就是为了防止被检测，只要外面不知道，那们病毒基本上没法发现监控程序
Aaah 雪币： 182 活跃值： (111) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 232 粉丝 0 关注私信	Aaah 2013-12-26 10:25 19 楼 0 我一直以为分析病毒大家用的都是N年前瑞星漏出出去的黑镜头或是SDS，要不然就是现在的火绒剑呢当然老外用pin
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复