恶意软件的收集与初步分析

安全
前面,我们为读者介绍了漏洞利用和逆向工程方面的基本技能,现在,我们将综合利用这些技术来探究恶意软件。作为道德黑客,有时我们需要在确保安全的情况下动手考察恶意软件,判断其危险性,并设法清除它。

前面,我们为读者介绍了漏洞利用和逆向工程方面的基本技能,现在,我们将综合利用这些技术来探究恶意软件。作为道德黑客,有时我们需要在确保安全的情况下动手考察恶意软件,判断其危险性,并设法清除它。本文中,您将有机会体验这一安全领域,涉及的主题有:如果您对这些主题感兴趣的话,可以在“参考资料”部分找到更进一步的资料。

恶意软件

蜜罐技术最新趋势

捕获恶意软件:布置陷阱

恶意软件的初步分析

恶意软件

所谓恶意软件,就是在用户不知情或者未经许可的情况下,不经意安装的或者不请自来的那些软件。

恶意软件的类型

恶意软件的类型有多种,但是我们这里只讨论下列几种:

病毒

所谓病毒,其实是一种寄生性的程序,它们将自己附着到另一个程序之上,以便感染此程序从而执行一些有害的功能。 病毒程序的危害性较大。 有些病毒易于检测和清除,而另一些病毒检测和清除起来却非常棘手。 一些病毒在传播过程中,会利用多态(变形)技术产生新的变体,从而使得检测工作更为困难。 只有当用户启动包含病毒的应用程序或者脚本的时候,病毒才会发作。当然,用户通常不知道自己执行了一个病毒程序,相反,他们通常以为自己打开的只是一张图片,或者是一个看上去无害的应用程序。

特洛伊木马程序

特洛伊木马程序是指含有恶意代码的软件,它能够在用户毫无察觉的情况下为攻击者干一些见不得人的勾当。 顾名思义,许多特洛伊木马通过嵌入到其它软件的方式混入计算机系统。

实际上,盗版软件中经常会有特洛伊木马程序代码。

蠕虫

简单地说,蠕虫就是些能够自动传播的病毒。 它们无需用户参与,就能在系统之间进行传播。 近年来,蠕虫已经非常流行,并且被用于多种目的,例如传播特洛伊木马以及其它类型的恶意软件。

间谍软件/广告软件

间谍软件和广告软件指的是这样一类软件,它们在用户不知情的情况下偷偷安装到计算机上,并向攻击者报告用户的活动情况。 在这种情况下,攻击者通常效力于广告主、市场专员或者因特网研究人员。 大多数情况下,这类软件除了侵犯隐私之外并没有其它恶意。 然而,有些间谍软件会使用键盘纪录技术来捕获用户的击键,从而将用户的机器变成一个中央数据库。 那样的话,密码和金融信息就会被收集,所以间谍软件对于用户或组织来说也是高度危险的。

恶意软件防御技术

恶意软件的一个重要特点是,重新启动后它仍存在于系统中,所以它的存活期很长。所以,攻击者为了保护恶意软件,通常都会设法令其难以发现。

Rootkits

“rootkit”的定义是与时俱进的,不过目前来说,它主要是指这样一类软件,它们能够隐藏自身以及其它软件从而完成一些邪恶的任务。一款优秀的rootkit不仅应该能够具备抗重新启动性,还应该能隐藏进程、文件、注册表项、网络连接,最为重要的是能够隐藏它自己。

加壳工具

加壳工具用来对Windows PE文件格式进行加壳或压缩处理。 常见的加壳工具有

UPX

ASPack

tElock

通过加密提供保护层

一些黑客使用下面的工具来对他们的二进制代码进行加密包装:

Burneye

Shiva

VM检测

不难预料,由于越来越多的安全研究人员使用VMware俘获和研究恶意软件,所以许多恶意软件已经开始使用各种虚拟机(VM)检测技术。 在本章后面部分,我们将介绍这场军备竞赛的最新进展(当然是指截止编写本书为止这段时间内的发展情况)。#p#

蜜罐技术最新趋势

谈到军备竞赛,随着攻击者技术上的不断进步,安全防御者的技术也随之发展。这场猫捉老鼠的游戏已经上演了多年了,攻击者设法逃避检测,而安全防御者则尽力发现最新的威胁,并开发相应的对策来更好地保护他们的网络。

蜜罐

蜜罐是些放到网络中的诱饵系统,它们是专门用来吸引黑客的。 这些系统本身并不贵重,也没有敏感信息,不过它们看起来却很重要。它们之所以被称为蜜罐,是因为这些系统对黑客来说一上手就能得逞,所以他们还会再次光顾。

Honeynets

蜜罐是以单个系统作为诱饵。 而honeynet则是用多个系统作为诱饵。 当然,我们也可以这样认为,即一个honeynet包含两个或更多的蜜罐,如下所示:

为什么使用蜜罐

在企业网络中使用蜜罐的原因有很多,例如伪装和情报搜集。

用于伪装

美国传统词典将“伪装”定义为“1. 通过利用障眼法;2. 被掩饰的事实或状态;3. 欺诈;诡计.” 蜜罐可用于欺骗攻击者,致使他们拿不到王冠,反倒按响警报器。这里的想法是,让您的蜜罐紧贴您的王冠。

【编辑推荐】

  1. 十个值得一用的免费反恶意软件工具
  2. RSA2011:M86预测利用第三方工具包的钓鱼攻击开始凸显
  3. 漏洞管理工具方面的几点注意事项
  4. 五个好用的网络协议分析工具(附下载)
责任编辑:佟健 来源: 译言网
相关推荐

2015-08-24 11:58:14

2013-08-12 15:44:44

Pyew恶意软件分析工具恶意软件分析

2015-05-06 11:22:30

2017-11-01 21:53:25

2023-12-12 09:00:00

2017-11-03 12:25:00

2019-01-09 08:16:31

2014-08-26 10:20:17

2017-11-06 12:10:35

SSnatchLoad恶意软件

2009-02-04 10:30:47

2023-08-07 07:44:44

2022-09-27 14:46:03

网络安全计算机恶意软件

2024-06-06 15:57:54

2017-02-15 20:32:42

2016-09-19 15:40:25

2016-01-11 10:44:38

恶意软件恶意软件分析

2019-05-09 10:51:29

恶意软件加密通信网络攻击

2017-12-14 21:17:24

2021-06-14 07:17:43

恶意软件Cookie数据安全

2017-07-17 06:46:06

点赞
收藏

51CTO技术栈公众号