[原创]病毒行为分析的一些想法-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]病毒行为分析的一些想法

发表于: 2013-11-29 16:35 29491

[原创]病毒行为分析的一些想法

小Biy

2013-11-29 16:35

29491

    论坛里有很多都是反汇编的大牛，拿到一个病毒样本，可以毫无压力进行人工分析。鄙人虽然在本科学习过病毒分析，但是真正实战分析病毒样本的时间还不到半年，而且还并不是专职分析（夹杂开发的任务），所以，对于人工病毒分析，没有太多可以分享的。目前自己在做关于病毒行为分析的一些工作，在这里谈谈自己对于病毒行为分析的一些想法。

    目前病毒分析主要分析两种，一种是人工分析，主要包括静态调试和动态调试，常用的工具主要包括IDA Pro和Ollydbg，以及一些壳分析的工具。一般来说，人工分析可以很彻底的分析这个程序，缺点也是显而易见，效率太低，对于病毒分析师的技术要求也是比较高。另外一种就是自动化的分析工具，主要包括一些沙箱工具、虚拟化的工具等，商业化的做的比较好的包括金山沙盒（现在毒霸没有这个功能），金山火眼等，开源的行为分析工具有Capture BAT ，ZeroWine等，优点是可以获取样本运行的行为记录，但同时不足包括：获取的行为不全（某些行为需要特定条件、特定操作触发等），行为分析方法不健全等。

    人工分析就不多讲了，论坛中的大牛不胜其数。现在就讲讲自动化的分析工具，可能你会问，什么样的情况下，需要获取样本的行为呢？一个是某些程序通过本地的杀毒软件，并不能判断它是否是病毒，于是一些厂商就通过将样本上传到服务器进行鉴定，其中的鉴定可能就包括行为分析，通过样本的行为判断该程序是不是病毒，另外就是对病毒样本进行统计分析和分类，通过对行为进行分析，判断该样本是那种病毒等等。

    目前对于行为分析，公开的成熟的模型并没有，可以参考的模型是IDS行为判别模型，通过建立规则库，对获取的行为进行标准化，并与规则库进行比对，判断行为。这是初步的模型，虽然这个初步的模型都不成熟。但是一些验证工作和建模工作都还在继续。规则库的一个弊端就是对于不在规则库中的行为，是无法鉴别，这样又陷入了早期病毒分析的“特征库”的瓶颈中。后续的提升性能的研究方向，包括虚拟化环境的完善，以及提升行为鉴别能力。

    第一次发言，能分享的东西不多，行为分析软件推荐Zerowine，网站：http://zerowine.sourceforge.net/
    zerowine安装：http://blog.sina.com.cn/s/blog_624a83600101qmmp.html

    附金山毒霸早期版本的沙盒（先启动毒霸，再启动沙盒）：http://pan.baidu.com/s/149kUe

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

收藏・5

免费・0

支持

最新回复 (18)
代码疯子雪币： 270 活跃值： (97) 能力值： ( LV8，RANK：140 ) 在线值：发帖 22 回帖 423 粉丝 1 关注私信	代码疯子 3 2 楼网上的自动化分析系统有很多，但是公开的都不是很好 2013-11-29 16:42 0
whnet 雪币： 185 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 1029 粉丝 0 关注私信	whnet 3 楼为何搞这么大的字体。。。 2013-11-29 18:23 0
gotmilk 雪币： 144 活跃值： (46) 能力值： ( LV6，RANK：90 ) 在线值：发帖 6 回帖 214 粉丝 1 关注私信	gotmilk 2 4 楼 marl 待会看 2013-11-29 19:18 0
hbcld 雪币： 43 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 238 粉丝 0 关注私信	hbcld 5 楼自动化分析应该是趋势，代码量越来越大，人工分析精力肯定跟不上 2013-11-29 19:20 0
Pathfinder 雪币： 912 活跃值： (87) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 55 粉丝 0 关注私信	Pathfinder 6 楼樓主這麼大的字體我看著很舒服,好!字太小了看著吃力啊 2013-11-29 23:30 0
Aipsa 雪币： 19 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 12 回帖 122 粉丝 0 关注私信	Aipsa 7 楼天天写烂尾工程的我都不好意思分析了。。。 2013-11-30 02:14 0
地狱怪客雪币： 341 活跃值： (143) 能力值： ( LV7，RANK：110 ) 在线值：发帖 23 回帖 1125 粉丝 10 关注私信	地狱怪客 2 8 楼不错哦。。了解了解。。。 2013-11-30 08:25 0
heidongqi 雪币： 56 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 63 粉丝 0 关注私信	heidongqi 9 楼其实现在很多毒一运行就会判断环境，比如是否处于虚拟机中，是否有监控软件，是否有处于分析沙盘等软件中。如果在就不运行恶意代码。甚至现在有些壳就具有这样的功能，鄙人不才就写过一个这样的壳。这种程序用自动分析软件分析，怎么都是正常的。。。一拿到系统中运行就呵呵了 2013-11-30 17:17 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 10 楼现在哪家不是以自动分析为主啊……不过分析一些特殊的的程序主力还是人工…… 2013-11-30 17:48 0
nullily 雪币： 14 活跃值： (24) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 61 粉丝 0 关注私信	nullily 11 楼谢谢搂主正在找这方面的东西！希望有机会可以交流一下！ 2013-12-2 11:50 0
小Biy 雪币： 3 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 15 粉丝 0 关注私信	小Biy 1 12 楼看起来内容显得比较多，O(∩_∩)O~ 2013-12-10 20:08 0
小Biy 雪币： 3 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 15 粉丝 0 关注私信	小Biy 1 13 楼看起来内容显得比较多，O(∩_∩)O~ 2013-12-10 20:11 0
小Biy 雪币： 3 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 15 粉丝 0 关注私信	小Biy 1 14 楼反虚拟机反沙箱反调试都是趋势，多多交流多多交流 2013-12-10 20:13 0
小Biy 雪币： 3 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 15 粉丝 0 关注私信	小Biy 1 15 楼多多交流，有两篇文章推荐给你，可以看看：《恶意代码检测与分类技术研究》 http://www.cnki.net/KCMS/detail/detail.aspx?QueryID=2&CurRec=2&recid=&filename=1011251894.nh&dbname=CMFDLAST2012&dbcode=CMFD&pr=&urlid=&yx=&uid=WEEvREcwSlJHSldRa1FiK0ZPWENTZU5XYThpV0pVSFI4Qy9kZTRnaGtoTjdud1l2VUhWc01LTFVxS1poR3NrPQ==&v=MjQxODIyNkg3RzlIOW5GcTVFYlBJUjhlWDFMdXhZUzdEaDFUM3FUcldNMUZyQ1VSTG1lWmVkdkZDbmxWci9BVkY= 《恶意代码动态分析技术的研究与实现》 http://www.cnki.net/KCMS/detail/detail.aspx?QueryID=7&CurRec=1&recid=&filename=2009166703.nh&dbname=CMFD0911&dbcode=CMFD&pr=&urlid=&yx=&uid=WEEvREcwSlJHSldRa1FiK0ZPWENTZU5XYThpV0pVSFI4Qy9kZTRnaGtoTjdud1l2VUhWc01LTFVxS1poR3NrPQ==&v=MjI1NzhSOGVYMUx1eFlTN0RoMVQzcVRyV00xRnJDVVJMbWVaZWR2RkNubFZMN05WMTI3RjdLK0dOYk1ySkViUEk= 一篇是介绍行为特征描述，一篇是介绍恶意行为建模方法 2013-12-10 20:18 0
heidongqi 雪币： 56 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 63 粉丝 0 关注私信	heidongqi 16 楼嗯，现在大多数行为分析软件都把注意力集中在了分析行为上，而没有想到隐藏自己上，这类软件如果能被检测到，行为分析就没有意义。就拿我的壳来说，运行加壳后的程序，会识别这类软件，一旦发现了，就不会解密数据，而会弹窗提示“请不要在某某下运行本程序”，然后退出程序。现在已经能检测出大多数常见的沙盘和行为分析软件，因为很多网站都是虚拟机的所以没有检测虚拟机。并且能够识别出杀软的虚拟机脱壳引擎。不过这壳的兼容性现在还有问题，要考虑的东西太多了（不好弄）。前面说了攻击方，说说防御方吧我没写过行为分析软件，以下是我猜的，如果错了，请指出。现在主流的沙盘和行为分析软件基本上都已经成型了，如果再去考虑隐藏本身不被被监控程序发现的话，真的很多地方都要改同样不好弄。所以这类软件我觉得在设计的时候就应该把隐藏本身考虑进去。 2013-12-11 15:45 0
lovelyday 雪币： 31 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 169 粉丝 0 关注私信	lovelyday 17 楼可以用真机来做行为分析，只是自动化的难度貌似比较高 2013-12-17 23:21 0
lovelyday 雪币： 31 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 169 粉丝 0 关注私信	lovelyday 18 楼表示杀软一般内部用的行为分析的工具都是不外泄的，就是为了防止被检测，只要外面不知道，那们病毒基本上没法发现监控程序 2013-12-20 12:57 0
Aaah 雪币： 82 活跃值： (291) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 232 粉丝 0 关注私信	Aaah 19 楼我一直以为分析病毒大家用的都是N年前瑞星漏出出去的黑镜头或是SDS，要不然就是现在的火绒剑呢当然老外用pin 2013-12-26 10:25 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

小Biy

发帖

回帖

RANK

关注

私信

他的文章

[原创]树莓派上手小记 56180
[原创]病毒行为分析的一些想法 29492

关于我们

联系我们

企业服务

看雪公众号

最新回复 (18)
代码疯子雪币： 270 活跃值： (97) 能力值： ( LV8，RANK：140 ) 在线值：发帖 22 回帖 423 粉丝 1 关注私信	代码疯子 3 2 楼网上的自动化分析系统有很多，但是公开的都不是很好 2013-11-29 16:42 0
whnet 雪币： 185 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 1029 粉丝 0 关注私信	whnet 3 楼为何搞这么大的字体。。。 2013-11-29 18:23 0
gotmilk 雪币： 144 活跃值： (46) 能力值： ( LV6，RANK：90 ) 在线值：发帖 6 回帖 214 粉丝 1 关注私信	gotmilk 2 4 楼 marl 待会看 2013-11-29 19:18 0
hbcld 雪币： 43 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 238 粉丝 0 关注私信	hbcld 5 楼自动化分析应该是趋势，代码量越来越大，人工分析精力肯定跟不上 2013-11-29 19:20 0
Pathfinder 雪币： 912 活跃值： (87) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 55 粉丝 0 关注私信	Pathfinder 6 楼樓主這麼大的字體我看著很舒服,好!字太小了看著吃力啊 2013-11-29 23:30 0
Aipsa 雪币： 19 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 12 回帖 122 粉丝 0 关注私信	Aipsa 7 楼天天写烂尾工程的我都不好意思分析了。。。 2013-11-30 02:14 0
地狱怪客雪币： 341 活跃值： (143) 能力值： ( LV7，RANK：110 ) 在线值：发帖 23 回帖 1125 粉丝 10 关注私信	地狱怪客 2 8 楼不错哦。。了解了解。。。 2013-11-30 08:25 0
heidongqi 雪币： 56 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 63 粉丝 0 关注私信	heidongqi 9 楼其实现在很多毒一运行就会判断环境，比如是否处于虚拟机中，是否有监控软件，是否有处于分析沙盘等软件中。如果在就不运行恶意代码。甚至现在有些壳就具有这样的功能，鄙人不才就写过一个这样的壳。这种程序用自动分析软件分析，怎么都是正常的。。。一拿到系统中运行就呵呵了 2013-11-30 17:17 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 10 楼现在哪家不是以自动分析为主啊……不过分析一些特殊的的程序主力还是人工…… 2013-11-30 17:48 0
nullily 雪币： 14 活跃值： (24) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 61 粉丝 0 关注私信	nullily 11 楼谢谢搂主正在找这方面的东西！希望有机会可以交流一下！ 2013-12-2 11:50 0
小Biy 雪币： 3 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 15 粉丝 0 关注私信	小Biy 1 12 楼看起来内容显得比较多，O(∩_∩)O~ 2013-12-10 20:08 0
小Biy 雪币： 3 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 15 粉丝 0 关注私信	小Biy 1 13 楼看起来内容显得比较多，O(∩_∩)O~ 2013-12-10 20:11 0
小Biy 雪币： 3 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 15 粉丝 0 关注私信	小Biy 1 14 楼反虚拟机反沙箱反调试都是趋势，多多交流多多交流 2013-12-10 20:13 0
小Biy 雪币： 3 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 15 粉丝 0 关注私信	小Biy 1 15 楼多多交流，有两篇文章推荐给你，可以看看：《恶意代码检测与分类技术研究》 http://www.cnki.net/KCMS/detail/detail.aspx?QueryID=2&CurRec=2&recid=&filename=1011251894.nh&dbname=CMFDLAST2012&dbcode=CMFD&pr=&urlid=&yx=&uid=WEEvREcwSlJHSldRa1FiK0ZPWENTZU5XYThpV0pVSFI4Qy9kZTRnaGtoTjdud1l2VUhWc01LTFVxS1poR3NrPQ==&v=MjQxODIyNkg3RzlIOW5GcTVFYlBJUjhlWDFMdXhZUzdEaDFUM3FUcldNMUZyQ1VSTG1lWmVkdkZDbmxWci9BVkY= 《恶意代码动态分析技术的研究与实现》 http://www.cnki.net/KCMS/detail/detail.aspx?QueryID=7&CurRec=1&recid=&filename=2009166703.nh&dbname=CMFD0911&dbcode=CMFD&pr=&urlid=&yx=&uid=WEEvREcwSlJHSldRa1FiK0ZPWENTZU5XYThpV0pVSFI4Qy9kZTRnaGtoTjdud1l2VUhWc01LTFVxS1poR3NrPQ==&v=MjI1NzhSOGVYMUx1eFlTN0RoMVQzcVRyV00xRnJDVVJMbWVaZWR2RkNubFZMN05WMTI3RjdLK0dOYk1ySkViUEk= 一篇是介绍行为特征描述，一篇是介绍恶意行为建模方法 2013-12-10 20:18 0
heidongqi 雪币： 56 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 63 粉丝 0 关注私信	heidongqi 16 楼嗯，现在大多数行为分析软件都把注意力集中在了分析行为上，而没有想到隐藏自己上，这类软件如果能被检测到，行为分析就没有意义。就拿我的壳来说，运行加壳后的程序，会识别这类软件，一旦发现了，就不会解密数据，而会弹窗提示“请不要在某某下运行本程序”，然后退出程序。现在已经能检测出大多数常见的沙盘和行为分析软件，因为很多网站都是虚拟机的所以没有检测虚拟机。并且能够识别出杀软的虚拟机脱壳引擎。不过这壳的兼容性现在还有问题，要考虑的东西太多了（不好弄）。前面说了攻击方，说说防御方吧我没写过行为分析软件，以下是我猜的，如果错了，请指出。现在主流的沙盘和行为分析软件基本上都已经成型了，如果再去考虑隐藏本身不被被监控程序发现的话，真的很多地方都要改同样不好弄。所以这类软件我觉得在设计的时候就应该把隐藏本身考虑进去。 2013-12-11 15:45 0
lovelyday 雪币： 31 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 169 粉丝 0 关注私信	lovelyday 17 楼可以用真机来做行为分析，只是自动化的难度貌似比较高 2013-12-17 23:21 0
lovelyday 雪币： 31 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 169 粉丝 0 关注私信	lovelyday 18 楼表示杀软一般内部用的行为分析的工具都是不外泄的，就是为了防止被检测，只要外面不知道，那们病毒基本上没法发现监控程序 2013-12-20 12:57 0
Aaah 雪币： 82 活跃值： (291) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 232 粉丝 0 关注私信	Aaah 19 楼我一直以为分析病毒大家用的都是N年前瑞星漏出出去的黑镜头或是SDS，要不然就是现在的火绒剑呢当然老外用pin 2013-12-26 10:25 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复