这是做者网络安全自学教程系列,主要是关于安全工具和实践操做的在线笔记,特分享出来与博友们学习,但愿您喜欢,一块儿进步。前文分享了威胁情报分析,经过Python抓取FreeBuf网站“APT”主题的相关文章。这篇文章将详细总结恶意代码检测技术,包括恶意代码检测的对象和策略、特征值检测技术、校验和检测技术、启发式扫描技术、虚拟机检测技术和主动防护技术。基础性文章,但愿对您有所帮助~php
自全球第一个计算机病毒出现后,人们经过与病毒长期的斗争,积累了大量反病毒经验,掌握了大量实用的反病毒技术,并研制出一系列优秀的反病毒产品,主要用于病毒的防御、检测及其清除等。病毒的检测技术主要包括特征值检测技术、校验和检测技术、启发式扫描技术、虚拟机检测技术、主动防护技术,以及新兴的云查杀技术等。我的用户也能够经过经验、安全检测工具和反病毒软件来检查计算机是否感染病毒,或是采用沙箱及相关静、动态分析手段来对病毒进行深刻分析。html
做者做为网络安全的小白,分享一些自学基础教程给你们,主要是关于安全工具和实践操做的在线笔记,但愿您们喜欢。同时,更但愿您能与我一块儿操做和进步,后续将深刻学习网络安全和系统安全知识并分享相关实验。总之,但愿该系列文章对博友有所帮助,写文不易,大神们不喜勿喷,谢谢!若是文章对您有帮助,将是我创做的最大动力,点赞、评论、私聊都可,一块儿加油喔~git
做者的github资源:
软件安全:https://github.com/eastmountyxz/Software-Security-Course
其余工具:https://github.com/eastmountyxz/NetworkSecuritySelf-study
Windows-Hacker:https://github.com/eastmountyxz/Windows-Hacker-Expgithub
声明:本人坚定反对利用教学方法进行犯罪的行为,一切犯罪行为必将受到严惩,绿色网络须要咱们共同维护,更推荐你们了解它们背后的原理,更好地进行防御。web
前文学习:
[网络安全自学篇] 一.入门笔记之看雪Web安全学习及异或解密示例
[网络安全自学篇] 二.Chrome浏览器保留密码功能渗透解析及登陆加密入门笔记
[网络安全自学篇] 三.Burp Suite工具安装配置、Proxy基础用法及暴库示例
[网络安全自学篇] 四.实验吧CTF实战之WEB渗透和隐写术解密
[网络安全自学篇] 五.IDA Pro反汇编工具初识及逆向工程解密实战
[网络安全自学篇] 六.OllyDbg动态分析工具基础用法及Crakeme逆向
[网络安全自学篇] 七.快手视频下载之Chrome浏览器Network分析及Python爬虫探讨
[网络安全自学篇] 八.Web漏洞及端口扫描之Nmap、ThreatScan和DirBuster工具
[网络安全自学篇] 九.社会工程学之基础概念、IP获取、IP物理定位、文件属性
[网络安全自学篇] 十.论文之基于机器学习算法的主机恶意代码
[网络安全自学篇] 十一.虚拟机VMware+Kali安装入门及Sqlmap基本用法
[网络安全自学篇] 十二.Wireshark安装入门及抓取网站用户名密码(一)
[网络安全自学篇] 十三.Wireshark抓包原理(ARP劫持、MAC泛洪)及数据流追踪和图像抓取(二)
[网络安全自学篇] 十四.Python攻防之基础常识、正则表达式、Web编程和套接字通讯(一)
[网络安全自学篇] 十五.Python攻防之多线程、C段扫描和数据库编程(二)
[网络安全自学篇] 十六.Python攻防之弱口令、自定义字典生成及网站暴库防御
[网络安全自学篇] 十七.Python攻防之构建Web目录扫描器及ip代理池(四)
[网络安全自学篇] 十八.XSS跨站脚本攻击原理及代码攻防演示(一)
[网络安全自学篇] 十九.Powershell基础入门及常见用法(一)
[网络安全自学篇] 二十.Powershell基础入门及常见用法(二)
[网络安全自学篇] 二十一.GeekPwn极客大赛之安全攻防技术总结及ShowTime
[网络安全自学篇] 二十二.Web渗透之网站信息、域名信息、端口信息、敏感信息及指纹信息收集
[网络安全自学篇] 二十三.基于机器学习的恶意请求识别及安全领域中的机器学习
[网络安全自学篇] 二十四.基于机器学习的恶意代码识别及人工智能中的恶意代码检测
[网络安全自学篇] 二十五.Web安全学习路线及木马、病毒和防护初探
[网络安全自学篇] 二十六.Shodan搜索引擎详解及Python命令行调用
[网络安全自学篇] 二十七.Sqlmap基础用法、CTF实战及请求参数设置(一)
[网络安全自学篇] 二十八.文件上传漏洞和Caidao入门及防护原理(一)
[网络安全自学篇] 二十九.文件上传漏洞和IIS6.0解析漏洞及防护原理(二)
[网络安全自学篇] 三十.文件上传漏洞、编辑器漏洞和IIS高版本漏洞及防护(三)
[网络安全自学篇] 三十一.文件上传漏洞之Upload-labs靶场及CTF题目01-10(四)
[网络安全自学篇] 三十二.文件上传漏洞之Upload-labs靶场及CTF题目11-20(五)
[网络安全自学篇] 三十三.文件上传漏洞之绕狗一句话原理和绕过安全狗(六)
[网络安全自学篇] 三十四.Windows系统漏洞之5次Shift漏洞启动计算机
[网络安全自学篇] 三十五.恶意代码攻击溯源及恶意样本分析
[网络安全自学篇] 三十六.WinRAR漏洞复现(CVE-2018-20250)及恶意软件自启动劫持
[网络安全自学篇] 三十七.Web渗透提升班之hack the box在线靶场注册及入门知识(一)
[网络安全自学篇] 三十八.hack the box渗透之BurpSuite和Hydra密码爆破及Python加密Post请求(二)
[网络安全自学篇] 三十九.hack the box渗透之DirBuster扫描路径及Sqlmap高级注入用法(三)
[网络安全自学篇] 四十.phpMyAdmin 4.8.1后台文件包含漏洞复现及详解(CVE-2018-12613)
[网络安全自学篇] 四十一.中间人攻击和ARP欺骗原理详解及漏洞还原
[网络安全自学篇] 四十二.DNS欺骗和钓鱼网站原理详解及漏洞还原
[网络安全自学篇] 四十三.木马原理详解、远程服务器IPC$漏洞及木马植入实验
[网络安全自学篇] 四十四.Windows远程桌面服务漏洞(CVE-2019-0708)复现及详解
[网络安全自学篇] 四十五.病毒详解及批处理病毒制做(自启动、修改密码、定时关机、蓝屏、进程关闭)
[网络安全自学篇] 四十六.微软证书漏洞CVE-2020-0601 (上)Windows验证机制及可执行文件签名复现
[网络安全自学篇] 四十七.微软证书漏洞CVE-2020-0601 (下)Windows证书签名及HTTPS网站劫持
[网络安全自学篇] 四十八.Cracer第八期——(1)安全术语、Web渗透流程、Windows基础、注册表及黑客经常使用DOS命令
[网络安全自学篇] 四十九.Procmon软件基本用法及文件进程、注册表查看
[网络安全自学篇] 五十.虚拟机基础之安装XP系统、文件共享、网络快照设置及Wireshark抓取BBS密码
[网络安全自学篇] 五十一.恶意样本分析及HGZ木马控制目标服务器
[网络安全自学篇] 五十二.Windows漏洞利用之栈溢出原理和栈保护GS机制
[网络安全自学篇] 五十三.Windows漏洞利用之Metasploit实现栈溢出攻击及反弹shell
[网络安全自学篇] 五十四.Windows漏洞利用之基于SEH异常处理机制的栈溢出攻击及shell提取
[网络安全自学篇] 五十五.Windows漏洞利用之构建ROP链绕过DEP并获取Shell
[网络安全自学篇] 五十六.i春秋老师分享小白渗透之路及Web渗透技术总结
[网络安全自学篇] 五十七.PE文件逆向之什么是数字签名及Signtool签名工具详解(一)
[网络安全自学篇] 五十八.Windows漏洞利用之再看CVE-2019-0708及Metasploit反弹shell
[网络安全自学篇] 五十九.Windows漏洞利用之MS08-067远程代码执行漏洞复现及shell深度提权
[网络安全自学篇] 六十.Cracer第八期——(2)五万字总结Linux基础知识和经常使用渗透命令
[网络安全自学篇] 六十一.PE文件逆向之数字签名详细解析及Signcode、PEView、010Editor、Asn1View等工具用法(二)
[网络安全自学篇] 六十二.PE文件逆向之PE文件解析、PE编辑工具使用和PE结构修改(三)
[网络安全自学篇] 六十三.hack the box渗透之OpenAdmin题目及蚁剑管理员提权(四)
[网络安全自学篇] 六十四.Windows漏洞利用之SMBv3服务远程代码执行漏洞(CVE-2020-0796)复现及详解
[网络安全自学篇] 六十五.Vulnhub靶机渗透之环境搭建及JIS-CTF入门和蚁剑提权示例(一)
[网络安全自学篇] 六十六.Vulnhub靶机渗透之DC-1提权和Drupal漏洞利用(二)
[网络安全自学篇] 六十七.WannaCry勒索病毒复现及分析(一)Python利用永恒之蓝及Win7勒索加密
[网络安全自学篇] 六十八.WannaCry勒索病毒复现及分析(二)MS17-010利用及病毒解析
[网络安全自学篇] 六十九.宏病毒之入门基础、防护措施、自发邮件及APT28样本分析
[网络安全自学篇] 七十.WannaCry勒索病毒复现及分析(三)蠕虫传播机制分析及IDA和OD逆向
[网络安全自学篇] 七十一.深信服分享以外部威胁防御和勒索病毒对抗
[网络安全自学篇] 七十二.逆向分析之OllyDbg动态调试工具(一)基础入门及TraceMe案例分析
[网络安全自学篇] 七十三.WannaCry勒索病毒复现及分析(四)蠕虫传播机制全网源码详细解读
[网络安全自学篇] 七十四.APT攻击检测溯源与常见APT组织的攻击案例
[网络安全自学篇] 七十五.Vulnhub靶机渗透之bulldog信息收集和nc反弹shell(三)
[网络安全自学篇] 七十六.逆向分析之OllyDbg动态调试工具(二)INT3断点、反调试、硬件断点与内存断点
[网络安全自学篇] 七十七.恶意代码与APT攻击中的武器(强推Seak老师)
[网络安全自学篇] 七十八.XSS跨站脚本攻击案例分享及总结(二)
[网络安全自学篇] 七十九.Windows PE病毒原理、分类及感染方式详解
[网络安全自学篇] 八十.WHUCTF之WEB类解题思路WP(代码审计、文件包含、过滤绕过、SQL注入)
[网络安全自学篇] 八十一.WHUCTF之WEB类解题思路WP(文件上传漏洞、冰蝎蚁剑、反序列化phar)
[网络安全自学篇] 八十二.WHUCTF之隐写和逆向类解题思路WP(文字解密、图片解密、佛语解码、冰蝎流量分析、逆向分析)
[网络安全自学篇] 八十三.WHUCTF之CSS注入、越权、csrf-token窃取及XSS总结
[网络安全自学篇] 八十四.《Windows黑客编程技术详解》之VS环境配置、基础知识及DLL延迟加载详解
[网络安全自学篇] 八十五.《Windows黑客编程技术详解》之注入技术详解(全局钩子、远线程钩子、突破Session 0注入、APC注入)
[网络安全自学篇] 八十六.威胁情报分析之Python抓取FreeBuf网站APT文章(上)正则表达式
前文欣赏:
[渗透&攻防] 一.从数据库原理学习网络攻防及防止SQL注入
[渗透&攻防] 二.SQL MAP工具从零解读数据库及基础用法
[渗透&攻防] 三.数据库之差别备份及Caidao利器
[渗透&攻防] 四.详解MySQL数据库攻防及Fiddler神器分析数据包算法
恶意代码的检测是将检测对象与恶意代码特征(检测标准)进行对比分析,定位病毒程序或代码,或检测恶意行为。shell
首先,咱们介绍恶意代码检测对象。检测对象主要包括:数据库
接着咱们主要介绍三类检测对象。编程
(1) 检测对象——引导扇区
引导扇区之因此成为检测对象,是由于部分引导扇区是具备控制权的,它在系统启动、执行过程当中会执行相应代码,而且这些代码可能会被恶意软件所篡改。主要包括:
检测目标:
(2) 检测对象——可能带毒的文件
有些文件是正常被感染所致,有些文件是独立存在系统中的。
(3) 检测对象——内存空间
恶意代码在传染或执行时,必然要占有必定的内存空间,部分功能代码驻留在内存中。
好比,部分恶意代码仅存在内存之中,它们是没有文件的,经过文件检测没法找到它们。另外,还有部分恶意代码最开始是有文件的,执行完毕以后会将自身进行删除,此时再去检测文件是检测不到的。也有一些木马程序,最开始执行时只是一个简单的主体程序,它全部的功能代码多是经过Shellcode的方式进行远程注入,在文件中是找不到这些恶意代码的,此时就驻留在内存中,因此对内存中的代码进行检测是必要的。
同时,还有一些木马程序会启动IE进程,它启动以后会将IE进程掏空,而后将本身的恶意代码植入其中,这种状况的恶意代码也是驻留在内存之中。除此以外,还有一些恶意代码自己在文件中,它是一种加密或压缩状态,只要到内存以后才会进行还原。参考做者前文:
介绍完检测对象以后,咱们分享病毒的检测策略。
(1) 专用检查技术:针对某个或某些特定已知恶意代码,好比反病毒软件所采用的文件特征值检测技术,发现病毒以后,对病毒的特征进行提取构建相关特征库。
(2) 通用检测技术:针对已知和未知恶意代码,根据恶意软件广义的特征进行检测,但这里面涉及了不少人为经验,如启发式扫描技术,对目标程序的特性和行为进行判断,给出判断结果或用户提示。
病毒特征值:是反病毒软件鉴别特定计算机病毒的一种标志。一般是从病毒样本中提取的一段或多段字符串或二进制串。
以下图所示,特征值检测技术和古代通J令相似,通J令中包含了这我的的特征,对于特征值检测技术也是同样,它首先须要对目标恶意程序进行特征及标志提取。另外,通J令能够经过相关机构或群众发现,而特征值检测技术依靠反病毒引擎来进行比对。
特征值检测技术的具体思路:
早期样本比较少,能够经过人工提取特征,但随着样本增多以后,就再也不经过单纯的人工方式提取,会将样本特征更新至病毒库,再下发到客户端的病毒检测设备中。最先的时候,总体病毒数量很少,好比KV300,当时就是拿着软盘每月去到指定的地方进行病毒库的更新,后来逐渐经过网络的方式更新反病毒软件,天天均可以更新不少次,反病毒软件再根据反病毒引擎进行病毒的查杀。
特征值的提取选择具体以下:
(1) 特定字串:从计算机病毒体内提取、为病毒所特有的特征串。如特定提示信息,特定签名信息等。
例如大麻病毒的提示为:“Your PC is now stoned”等。
(2) 感染标记:病毒为避免重复感染而使用的感染标记。
如黑色星期五的“suMs DOS”。
(3) 从病毒代码的特定地方开始取出连续的、不大于64且不含空格(ASCII值为32)的字节串。
同时,所提取的特征须要避免和正常的软件雷同,不然会造成误报。具体的提取方法以下:
特征值的提取还有一些自动提取的方法,下面三篇文章是以前做者分享的。
参考做者前文:
关于特征值检测技术,它有优缺点。具体以下:
最后,针对特征值检测技术,恶意软件如何对抗?
校验和检测技术是在文件使用/系统启动过程当中,检查检测对象的实际校验和与预期是否一致,于是能够发现文件/引导区是否感染。
首先,咱们须要弄清楚什么是预期?
它会经过校验和算法对原始的数据进行预算,从而获得校验值,若是对象被修改,其校验值会变化,从而判断其是否被感染。这里提到一个可信计算,它其实也使用了校验和技术。
运用校验和检测技术查病毒主要采用如下三种方式:
校验和检测对象一般包括文件头部、文件属性、文件内容和系统数据等。
(1) 文件头部
目前大部分的寄生病毒,它要去感染其它程序,它一般都要改变目标程序头部的数据,好比PE病毒感染。通常比较整个文件效率较低,有的检测仅比较文件的头部。现有大多数寄生病毒须要改变宿主程序的头部。
(2) 文件基本属性
文件的基本属性在整个生命周期中相对固定,若是发生改变可能发生了病毒攻击。文件基本属性一般包括文件长度、文件建立日期和时间、文件属性(通常属性、只读属性、隐含属性、系统属性)。下图展现了Tripwire软件可以对UNIX和Windows中的文件属性进行监控,若是文件中任何一个属性发生了异常变化,则说明该文件极有可能被病毒攻击或感染、损坏了。
(3) 文件内容校验和
对文件内容(可含文件的属性)的所有字节进行某种函数运算,这种运算所产生的适当字节长度的结果就叫作校验和。这种校验和在很大程度上表明了原文件的特征,通常文件的任何变化均可以反映在校验和中。好比对于散列函数来讲,原始特征哪怕改变一位,它的散列值都会发生很大变化。
(4) 系统数据
有些病毒可能修改、且相对固定的重要系统数据。
校验和检测技术优缺点以下:
优势:
缺点:
主要依赖病毒检测的经验和知识,如专业反病毒技术人员使用反汇编、调试或沙箱工具稍加分析,就可能断定出某程序是否染毒,主要经过的就是反病毒技术人员的经验。启发式代码扫描技术(Heuristic Scanning)实际上就是恶意代码检测经验和知识的软件实现。
经验主要是判断可疑的程序代码指令序列,常见的以下:
启发式扫描步骤以下:
下图展现反病毒软件的启发式分析过程,包括轻度扫描、中毒扫描、深度扫描。
为了方便用户或研究人员直观地检测被测试程序中可疑功能调用的存在状况,病毒检测程序能够显示地为不一样的可疑功能调用设置标志。例如,早期TbScan这款病毒检测软件就为每一项能够病毒功能调用定义一个标志,如F、R、A等,从而直观地判断被检测程序是否感染病毒。
下图展现了TBScan不一样病毒触发的标志。
启发式扫描优缺点以下:
优势:
缺点:
解决方案:
下面展现了相应的安全软件进行“启发式扫描+特征值扫描”的检测率。好比,卡巴斯基能达到99.57%,
2015年AVC测试结果,即启发式/行为检测能力的结果以下图所示。
2011年/2012年测试结果以下,针对未知病毒静态检测能力,其中奇虎对未知病毒检测率最高,而后是GDATA。
当时的结果报告中也给出了另外一个结果——误报率,详见下图。若是你期待得到一个更严格的安全,误报率高一点也是能够承受的,但愿不要有漏掉的,不一样的安全软件存在不一样的策略,固然同时提升检测率,下降误报率也很是考验安全公司的实力。
针对启发式扫描技术,病毒如何博弈?病毒又能采起什么措施呢?
为何须要虚拟机检测技术?主要是由于:
其中,加密病毒是指真实代码被压缩或加密,但最终须要在内存中还原。多态性病毒是指对自身二进制文件进行加密,在运行时再自解密,它在每次感染时都会改变其密钥和解密代码,以对抗反病毒软件,这类病毒的表明有 “幽灵病毒”。普通特征值检测技术对其基本失效,由于其对代码实施加密变换,并且每次感染使用不一样密钥和解密代码。
在电脑病毒中有一个特殊群体,它们生活在比Windows系统更早启动的“异度空间”,拥有对整个系统和软件的生杀大权;同时它们又极隐蔽,检测难度远远高于普通病毒,咱们将其统称为“幽灵病毒”。
一台电脑的启动顺序:BIOS(基本输入输出系统)-> MBR(磁盘主引导记录)-> VBR(卷引导记录)-> 系统加载程序(C盘根目录)-> Windows系统。BIOS、MBR和VBR就是幽灵病毒活跃的空间。360全球率先发现了BMW、谍影等BIOS病毒和VBR病毒,以及魅影、鬼影二、暗云Ⅱ、暗云Ⅲ等MBR病毒,并第一时间进行防护查杀。
早在2016年12月份,360安全卫士查杀团队首次发现了暗云的新一个变种,这就是今年兴起的暗云Ⅲ木马。此版本跟以往版本最大的不一样之处,在于暗云Ⅲ加入了对360急救箱查杀对抗,占位了急救箱的驱动全部设备名。下图展现了占坑急救箱设备名,正常为 Device设备,而暗云为Event设备。
而且暗云Ⅲ能经过挂钩磁盘StartIO保护自身,去掉了上一个版本Object钩子,保留了DPC保护,在2016年12月,360安全卫士就已经专门为查杀此顽固木马下发了新驱动,一旦发现自身设备名被占用,即断定为暗云Ⅲ设备并开启查杀修复。
虚拟机检测技术以下:
最后介绍虚拟机检测技术的优势,具备以下:
主动防护检测技术有时也被称为行为监控等技术。
东方微点公司创始人刘老师最先在国内提出了主动防护技术。下图展现了主动防护的过程,但该技术对于用户自己而言比较困难,由于用户缺少专业知识。因此反病毒公司会根据实际状况制定自身的反病毒软件策略,结合用户需求可能会放松策略。
常见可疑行为包括:
下图是卡巴斯基的主动防护过程。
恶意软件包括几个主要的功能,
敏感信息获取
屏幕、文件、录像、键盘击键、帐号和密码、游戏装备等
远控
流量转发和流量代理等
这些功能又细分为文件管理、进程管理、服务管理、注册表管理、屏幕监控、屏幕截取、语音视频截获、键盘记录、窗口管理、远程Shell等。
那么这些功能怎么实现的呢?主要是经过关键API实现。
下图展现了录音API从设备准备、缓冲区准备到开始录音的过程。
对这些关键API或API序列监控,但愿获取其逻辑关系,自动判断其合法性,判断行为的可行性。常见检测思路特征包括:
其中,功能行为特征主要是动态监视所运行程序调用各类应用编程接口(API)的动做,自动分析程序动做之间的逻辑关系,自动断定程序行为的合法性。
这里涉及到一个行为监控技术,它用于捕获拦截关键的API信息,具体包括:
具体的技术实现包括:
(1) Hooking
Hooking包括IAT钩子、IDT钩子、SSDT钩子、过滤驱动程序、驱动程序钩子等,经过下图所示的工具能够查看SSDT表是否被挂了钩子,它会比较当前函数和原始函数的地址。
IAT Hooking显示以下图所示,其中MyMessageBox的地址为00002598位置,若是修改其Data后,它就会跳转到自身设置的位置。
(2) InlineHooking
InlineHooking技术更为复杂一些。以下图所示,左边是部分描述了InlineHooking前的MessageBox,右边是MyMessageBox在内存中的定义体。
首先将MessageBox头部的5个字节Move到准备好的位置,其次把MessageBox的头部5个字节给一个jmp,跳转到自定义的MessageBox上(00401280)。
第三步,在定义好的MyMessageBox区域内给个jmp,跳转到原来的函数位置,即7566FD23处。
最后在MyMessageBox函数体中调用原始的MessageBoxA函数地址,即004012D7地址。
行为监控能够从用户态到核心态文件处理,再到核心态磁盘处理,有一系列的函数进行Hooking和InlineHooking进行总体的行为监控
主动防护技术的优缺点以下:
同时给出两个小的思考问题:
写到这里,这篇文章就介绍完毕,但愿对您有所帮助,下一篇文章做者将继续分析机器学习与恶意代码结合的知识,再下一篇会介绍恶意代码检测技术对应的安全软件评测,包括:
学安全一年,认识了不少安全大佬和朋友,但愿你们一块儿进步。这篇文章中若是存在一些不足,还请海涵。做者做为网络安全初学者的慢慢成长路吧!但愿将来能更透彻撰写相关文章。同时很是感谢参考文献中的安全大佬们的文章分享,感谢师傅、师兄师弟、师姐师妹们的教导,深知本身很菜,得努力前行。
《珈国情》
明月千里两相思,
清风缕缕寄离愁。
燕归珞珈花已谢,
情满景逸映深秋。
最感恩的永远是家人的支持,知道为啥而来,知道要作啥,知道努力才能回去。
夜已深,虽然笨,但还得奋斗。
欢迎你们讨论,是否以为这系列文章帮助到您!任何建议均可以评论告知读者,共勉。
(By:Eastmount 2020-07-16 下午13点写于武汉 http://blog.csdn.net/eastmount/ )
参考资料:
[1] https://mooc.study.163.com/learn/1000003014?share=2&shareId=1000001005 [2] 《软件安全之恶意代码机理与防御》WHU [3] 做者学习和实践经验