欢迎来到天天文库
浏览记录
ID:27386518
大小:623.51 KB
页数:64页
时间:2018-12-01
《《恶意代码取证》ppt课件》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、恶意代码取证韩承钦S310060109主要内容前言恶意软件事件响应内存取证事后取证文件识别和构型Windows平台下可疑软件分析前言数量迅速增长,表现出“混合-威胁”特征,具有多种功能和多种不同的传播方法。nihaorr1.com/1.jsStuxnet病毒(震网)利用恶意软件去实施和隐藏犯罪的现象日益普遍,这就迫使需要更多的数字调查员参与到反病毒厂商和安全研究人员的领域中,利用一些恶意软件分析技术和工具来进行恶意软件分析。主要内容前言恶意软件事件响应内存取证事后取证文件识别和构型Windows平台下可疑软件分析传统静态取证模型攻击进行中证据收集证据分析法律裁判攻击发生检测到
2、攻击备份证据原始证据分析结果传统静态取证模型动态取证模型网络及主机信息攻击进行中取证收集响应系统网络监控法律制裁证据分析攻击发生攻击信息备份证据提交原始证据与分析结果恶意软件事件响应:易失性数据收集与实时Windows系统检查适用于Windows的时间响应工具套件易失性数据收集方法建立实时响应工具包从实时Windows系统收集非易失性数据建立实时响应工具包进行实时取证响应时,最重要的是要使用可信赖的工具从目标系统中获取数据。确定并记录工具的依赖性,这样有利于了解使用一个工具时,其将对其他文件进行哪些访问,以及对系统造成哪些变化。可以使用DependencyWalker或PEV
3、iew之类的PE文件分析,已得到这些工具的文件依赖关系。选择好工具后,需要将工具放到实时响应工具箱中,创建工具套件的测试和验证系统最有效的方法是建立VMWare之类的虚拟os来实现。恶意软件事件响应:易失性数据收集与实时Windows系统检查适用于Windows的时间响应工具套件易失性数据收集方法建立实时响应工具包从实时Windows系统收集非易失性数据易失性数据的保存获取整个内存数据:利用PsTools套件中的pslist程序获取。从实时Windows系统中获取整个内存,最简单的放大就是从移动存储介质中运行dd命令来获取整个物理内存。一些软件:Helix(www.e-fen
4、se.com/helix)、Nigilant;还有一些商用的远程取证工具:ProDiscoverIR、OnlineDFS/LiveWire已经可以获取远程系统的整个内存数据。搜集目标系统的详细信息系统日期和时间:shell中的date/t、time/t命令,Win2003中的now命令。系统标识符:包括计算机名、ip地址。whoami获取系统用户信息,ver获取os信息,ipconfig/all获取IP地址信息。网络配置:老练的恶意软件通过与远程控制端进行VPN连接进行通信以逃避入侵检测软件和其他网络监控系统。工具Promiscdetect和Promqry是检查这方面的利器。
5、被激活的协议通过URLProtocolView程序来识别目标系统已被激活的协议。系统正常运行时间如果能够确定恶意软件从被安装之后目标系统没有重启,这非常重要。可以从工具箱中调用uptime程序(http://support.microsoft.com/kb/232243)。系统环境如操作系统版本、补丁级别和硬件。可使用psinfo、systeminfo、Dumpwin等工具来查询系统可以获得目标环境和状态的准确快照。识别登录到当前系统的用户调查人员应尽力获取有关一下信息:用户名登录位置、登录Session的持续时间、该用户访问的共享文件或其他资源、和该用户关联的进程、该用户引
6、起的网络活动。Psloggendon,是包含在PsTools套件中的一个命令行接口程序,可以来识别本地和远程登录到目标系统的用户。Quser,这个程序可以用来显示已登录用户名、登录的时间和日期,以及session类别及状态等信息。检查网络连接和活动网络连接情况、最近的DNS请求、目标系统的NetBIOS名字表、ARP缓存以及内部路由表。Netstat是各种Winos自带的程序,用来显示目标系统中目前已经建立或者正在进行监听的socket连接。搜集进程信息通常恶意软件运行时,都在目标系统中以进程的形式表现出来。从最基本的信息进程名和ID开始,搜集临时上下文环境、内存消耗、可执行
7、程序镜像的进程、用户镜像的进程、子进程、调用库和依赖库、用来创建进程的命令行参数、相关联的句柄、进程的内存内容、与系统状态和残留环境相关的上下文环境。tlist程序、tasklist程序、PRCView.exe。关联开放端口及其活动进程端口扫描:使用nmap工具。通用端口(www.iana.org/assignment/port-numbers)。检查服务和驱动程序尽管服务对终端用户是透明的,在系统后台运行,恶意软件也就可以以自运行方式在后台运行,导致用户难以发现。Psservice是一个可以提供目标系
此文档下载收益归作者所有