论文部分内容阅读
恶意的程序通常都有明显的危险行为,遇到一个不明的程序,我们可以通过沙盘的行为记录来知晓他到底要干什么,看清它的底细,严防破坏。对于菜鸟来说,难道就比较头大了,沙盘的使用就是个麻烦,而且分析起来更摸不着头脑了。如果有人弄好了一个沙盘让你随便用,而且还给你分析结果,你想试试吗?
第一步:登录http://www.norman.com/security_center/security_tools/submit_file/en,在第一个框中填图片的内容(也就是验证码),第二个框填你的电子邮箱的地址,第三个框点击浏览,选择要上传扫描的文件(可执行文件),然后点upload(上传)。上传成功后稍微等一下,让网站为我们分析一下文件,分析完成后会给我们发来邮件的。
第二步:这个过程一般是10分钟,这个分析报告一般包括DetectionInfo文件详细信息,如果是病毒便会报出病毒名字,比如我的这个是W32/Hupigon.CVQU。Changes to filesystem(文件系统的改变)、Changes to registry(注册表的改变)、Process/window information(进程与窗口信息)、Signature Scanning(数字签名扫描等信息),虽然是英文的,但是单词都很简单,“百度”一下就能看懂。
上面是随便找了一个流行的小木马,所以危害行为比较少,重点看Process/window information(进程与窗口信息)栏下的的内容(见下表)
代码 分析
Creates an event called . 创建事件消息
Creates process "IEXPLORE.EXE" 启动了一个浏览器程序,这个行为比较可疑,因为现在的木马为了穿防火墙,一般都选择浏览器做突破口
Reads memory in process IEXPLORE.EXE" 读取浏览器的内存数据,一般情况下,除了一些插件程序和安全软件,普通的程序是不会读取其他程序的内存的
Modifies memory in process "IEXPLORE.EXE" 修改浏览器的内存,是恶意程序的可能性极大
Modified OS kernel function code in process "IEXPLORE.EXE" 修改浏览器的核心代码
从这里看出,这个程序打开浏览器的内存后,向里面注入了自己的数据,这是一个进程插入型的木马,再仔细看,里面没有向浏览器插入DLL文件的报告,也就是说,木马直接把自己注入到浏览器的内存中,就算是用进程查看软件查看载入模块的情况也看不到木马。再看一条:Modifies execution flow of process IEXPLORE.EXE,它是要修改浏览器的执行流程。
综合以上所述,这是一个具有高级隐藏特征的木马程序,本来还有关于网络操作的报告,包括开启的端口,连接的IP地址,网络读取的文件等,只是因为这个样本没有开启网络方面的功能,所以没有相关报告。在其他的项目栏里就是它的行为,要是不小心中了它,查杀即可。
小提示
在线沙盘除了进行行为检测外,还会对文件进行特征码扫描,因此它是进行病毒(特别是未知)分析、处理的有力工具。需要注意的是Sandbox所虚拟的运行环境与真实环境有一定的差异,分析结果可能会与病毒在真机上的动作有所不同(通常是遗漏某些动作)。
第一步:登录http://www.norman.com/security_center/security_tools/submit_file/en,在第一个框中填图片的内容(也就是验证码),第二个框填你的电子邮箱的地址,第三个框点击浏览,选择要上传扫描的文件(可执行文件),然后点upload(上传)。上传成功后稍微等一下,让网站为我们分析一下文件,分析完成后会给我们发来邮件的。
第二步:这个过程一般是10分钟,这个分析报告一般包括DetectionInfo文件详细信息,如果是病毒便会报出病毒名字,比如我的这个是W32/Hupigon.CVQU。Changes to filesystem(文件系统的改变)、Changes to registry(注册表的改变)、Process/window information(进程与窗口信息)、Signature Scanning(数字签名扫描等信息),虽然是英文的,但是单词都很简单,“百度”一下就能看懂。
上面是随便找了一个流行的小木马,所以危害行为比较少,重点看Process/window information(进程与窗口信息)栏下的的内容(见下表)
代码 分析
Creates an event called . 创建事件消息
Creates process "IEXPLORE.EXE" 启动了一个浏览器程序,这个行为比较可疑,因为现在的木马为了穿防火墙,一般都选择浏览器做突破口
Reads memory in process IEXPLORE.EXE" 读取浏览器的内存数据,一般情况下,除了一些插件程序和安全软件,普通的程序是不会读取其他程序的内存的
Modifies memory in process "IEXPLORE.EXE" 修改浏览器的内存,是恶意程序的可能性极大
Modified OS kernel function code in process "IEXPLORE.EXE" 修改浏览器的核心代码
从这里看出,这个程序打开浏览器的内存后,向里面注入了自己的数据,这是一个进程插入型的木马,再仔细看,里面没有向浏览器插入DLL文件的报告,也就是说,木马直接把自己注入到浏览器的内存中,就算是用进程查看软件查看载入模块的情况也看不到木马。再看一条:Modifies execution flow of process IEXPLORE.EXE,它是要修改浏览器的执行流程。
综合以上所述,这是一个具有高级隐藏特征的木马程序,本来还有关于网络操作的报告,包括开启的端口,连接的IP地址,网络读取的文件等,只是因为这个样本没有开启网络方面的功能,所以没有相关报告。在其他的项目栏里就是它的行为,要是不小心中了它,查杀即可。
小提示
在线沙盘除了进行行为检测外,还会对文件进行特征码扫描,因此它是进行病毒(特别是未知)分析、处理的有力工具。需要注意的是Sandbox所虚拟的运行环境与真实环境有一定的差异,分析结果可能会与病毒在真机上的动作有所不同(通常是遗漏某些动作)。