四步变成恶意软件分析专家

发表于:2015-06-24 08:00:00 来源: 360安全播报 阅读数(0人)

四步变成恶意软件分析专家

 

根据一些安全专家和安全技术相关公司的报告,恶意软件正越来越多的影响着网络世界。例如,卡巴斯基实验室的报告中,金融恶意软件在2013年已经增长到了2840万,同比增加了27.6%。当然,这只是沧海一粟,恶意软件的问题正随着时间逐步增长。


如果我们想要避免这一现象更大比例的增长,我们就需要保持警惕,先想出一些简单有效的指引来继续我们的课程。首先,我们需要尽可能多的了解关于恶意软件的细节,要能够区分恶意软件的类型,识别恶意软件特征以及了解如何防范恶意软件的四个阶段。因此,首先,我们将开始深入研究日常会遇到的恶意软件。


恶意软件的类型


你可以想象到,恶意软件并不是奇特的,所以不存在一个单一的类型,你需要注意这一点。这样的话,反恶意软件识别出恶意软件是非常容易且高效的。因此,让我们了解一下可能会遇到的恶意软件类型:


间谍软件:恶意软件最常见的类型之一肯定是间谍软件。其目的在于从被感染的个人电脑中收集信息。此外,间谍软件也可能获得它所植入电脑的控制权。


病毒:当我们说到病毒的时候,我们说的是这种感染电脑中的程序和文件的恶意软件。在自我复制之后,它会感染这些程序和文件。


钓鱼软件:钓鱼软件目的在于吸引用户,重定向他们到可疑站点或者让他们提供个人信息。因此,钓鱼软件的主要目的是获取敏感数据。


木马:这起源于希腊神话中为了进入特洛伊而制造出的有充足的内部空间的木马的故事。木马软件可以在没有获得用户同意的情况下执行,这可能会导致用户数据丢失,


僵尸程序:僵尸程序可能导致多种形式的消极后果。例如,组成僵尸网络发动DDoS攻击。


勒索程序:勒索程序是另一种类型的恶意软件。一旦你感染了勒索程序,你会立即收到通知,要求你支付一定费用赎回你的数据和你对电脑的控制权。


现在我们已经了解了网络上经常发现的各种恶意软件类型,这是我们在恶意软件识别方面的基础。了解哪些方面是需要被保护的威胁点是重要的。因此在发现的基础上,我们将开始学习恶意软件分析技术。


恶意软件特征


下面,你可能会找到一些在你的计算机上真实存在的恶意软件症状。然后,我们打开它。


冻结或者崩溃:如果你经常出现这种症状,你不得不开始怀疑为何会发生这种事。你可能已经感染了恶意软件。


电脑变慢:你可能注意到你的电脑有时会失去响应不工作。这可能是恶意软件的结果,它们在很大程度上减慢你电脑的性能。


陌生的电脑行为:即使你的电脑运行足够快,但它可能会有一些陌生的行为。可能会在你不知道的情况下出现新的程序,也可能会在你没有允许的情况下启动一个程序。


修改或删除文件:尽管你整齐的将你的文件保存在文档里,你可能会发现它们被修改甚至被删除。除非这是你自己做的,否则,这很明显的表明发生了糟糕的事情。


出现奇怪的文件:当看到奇怪的文件出现(无论是在你的桌面还是在你的文件夹),你最好确认一下它们来自哪里。


CPU使用增加:与以往不同,你的CPU使用了太多的CPU资源。这也是一个很明显的迹象,表明你的设备需要检查恶意软件。


自动发送电子邮件和PMs :你的朋友会提醒你他们收到了从你的账号发出的东西,但这可能并不是你发送的邮件或者消息。这可能导致严重的问题,最有可能是恶意软件的结果。


接下来,让我们开始分析恶意软件,看看我们将如何摆脱这种问题。


恶意软件分析:如何开始


我们这里有一些非常重要的恶意软件分析方法。


分配物理或者虚拟系统给分析实验室:你可以做的是使恶意软件真实感染系统,然后观察它的行为。通过这种方式,你可以密切观察设备的行为,并且尝试各种应对感染的方法。当然,这种方法通常是在实验室中进行的。如果你想自己做这种尝试,你可以尝试一些虚拟化的软件作为解决方案,这有助于避免恶意软件产生的问题。这种软件很多,例如VirtualBox,VMware vSphere Hypervisor和Microsoft Virtual Server。否则,你将冒着自己计算机被感染的风险,这可能会给你的系统造成不可弥补的损害。


利用在线分析工具:你可以提供恶意软件给它们,然后它们会做一些自动化的行为分析,追踪真正重要的细节。你也可以从站点获取到被恶意软件感染之后的信息。根据自己的需求,你可以使用多个这样的在线分析工具,之后获取所有的细节。为了帮助你开始,我们介绍一些这类工具,包括Anubis,EUREKA,Malwr和ThreatExpert。


静态特征分析:你可以分析它的静态特征,这是另一种恶意软件分析技术。这一技术深入挖掘并且实际确定一个系统是否被破坏。如果你对这样的分析感兴趣,你可以通过VirusTotal检测蠕虫和木马,病毒等。


交互行为分析:仔细查看恶意软件样本,你可以和恶意软件进行交互,观察它对各种行为的应对。这是你可以使用的另一种深度分析方式,可以更好的了解恶意软件的运作方式。


手动逆向代码:通过手工逆向代码,你可以成功解密恶意软件保存,转移,检查数据的生成算法。此外,你能够充分理解恶意软件样本的特征,这是之前的方法无法做到的。


结合软件分析步骤:在全面检查恶意软件时只能通过详细的分层使用不同的步骤完成。所以,最有效的方法是你将有效的恶意软件分析阶段结合起来。作为一个结果,你将有机会结合多种分析方法提供的好处,这会使你得到最好的效果。


如何防范或删除恶意软件


为了避免不必要的麻烦,为了能够应对新兴的灾难,你需要保持警惕并像这样:


保持最新的软件和操作系统:定期更新你的软件和操作系统是至关重要的。只有这样你才可以放心,因为你拥有一个强大的武器,它已经彻底了解了威胁并且能够解决威胁。


安装并运行反恶意软件和防火墙:你是否有过系统受到损害的情况或者想保持它的安全,至关重要的是,你需要运行反恶意软件和反病毒软件。这将使你随时保持有效的保护。最重要的是,在你的防线中添加防火墙。


谨慎下载文件:虽然这是事实,许多人倾向于从互联网下载任何东西,你必须非常谨慎,不从未经信任的源下载东西。否则,被恶意软件感染的风险将变得太高,有可能到达第一位。


总结


掌握恶意软件分析的四个步骤可以为你提供一种方法用于解决一些令人失望的状况。因为被恶意软件危害的风险增高,非常建议你采取明智的行动,比如遵循我们的建议和指导。如果你这样做,你将不必担心互联网上任何增多的恶意软件。记住,选择权在你。


相关新闻

大家都在学

课程详情

恶意代码原理

课程详情

逆向工程

课程详情

软件安全之恶意代码机理与防护