网络犯罪侦查技术.ppt

网络犯罪侦察技术,林英云南大学软件学院2009年秋季学期,第七章 黑客工具研究,Outline 本章讲述正确、科学地进行工具分析的一种方法，将学会如何应对不明功能的可执行文件，并采取某些措施查明其运行目的。,工具分析的目的,如果从恶意程序文件名难以找出功能线索，则需要对黑客工具进行分析，以达到以下目的：预防以后类似的攻击 估计攻击者的技术或威胁程度 确定危害程度 确定是否造成损失 确定攻击者的数量和类型 如果抓到攻击者，可以准备质询的问题 确定攻击者的目标和目的（特定还是随机）,4,文件编译方式 编译器的作用Source Code-Object Code静态链接的程序 静态链接的可执行文件中包含了文件执行过程中需要的所有必须代码，程序的执行不特别依赖于某个版本的操作系统 用GNU编译器静态编译Linux下的程序 gcc static zap.c o zapstatic,动态链接的程序几乎所有操作系统都支持共享库，共享库中包含了通用的函数和例程，当程序使用到共享库的程序时，可以直接从系统内存中调用，程序代码不再需要包含所有用到的通用函数和例程，减少了可执行文件的大小，节省了系统内存，并且在对共享库进行升级时不需要再修改原始文件用GNU编译器生成一个动态编译的可执行文件 gcc zap.c o zap_outGNU编译器的默认动作就是产生一个动态连接的可执行文件,用调试选项编译程序打开编译器的调试选项之后，编译器会把大量的程序信息和程序源代码包括进来，用GUN编译器以调试模式编译源代码文件 gcc g zap.c o zapdebug调试模式有3种调试级别，每一级别比前一级别显示更多的调试信息，默认二级 GCC根据调试级别产生调试信息，以便进行回溯跟踪和对函数、外部变量、局部变量和宏定义进行描述用不同的方式编译的文件大小比较,rootunix#ls-almtotal 1604drwxr-xr-x 2 root root 1024 mar 22 08:10.drwxr-xr-x 3 root root 1024 mar 22 08:06.-rwxr-xr-x 1 root root 1972 mar 22 08:05 zap.c-rwxr-xr-x 1 root root 25657 mar 22 08:06 zapdebug-rwxr-xr-x 1 root root 13217 mar 22 08:08 zapdynamic-rwxr-xr-x 1 root root 1587273 mar 22 08:05 zapstatic,被剥离的(精简化)程序 精简程序丢弃目标代码中的所有符号以缩小文件大小，并可能优化文件执行。动态编译程序精简前，包含符号信息，使用nm命令可以将这些符号列出来，而strip命令将这些信息从文件中去掉。动态编译程序精简化后，文件大小达到最小，在使用字符串、符号提取技术分析这类文件时，往往最为困难 strip zapdynamic,用UPX压缩的程序UPX是一个高效的可执行文件压缩工具。攻击者可以采用UPX将攻击程序隐蔽起来，以绕过基于签名机制的IDS。UPX支持多种文件的打包、拆包，对恶意代码中的ASCII字符串进行检查后，可以看出可执行文件是否经过UPX压缩，如果发现一个UPX压缩过的可执行文件，应该使用UPX进行解压缩，然后用strings命令来查看正常情况下可执行文件中的字符串。,符号提取对于未精简化的文件，可以采用字符串和符号提取技术进行分析。在UNIX系统下，可以使用nm命令 rootunix#nm a zap 08049a20 A _bss_start U bzeroGLIBC_2.0 08048474 t call_gmon_start,在nm命令的输出中，第1栏是十六进制符号值，后面依次是符号类型和符号名称。符号类型如果是小写字母，表示一个局部变量，如果是大写，表示全局变量。A 一个绝对值 B 一个未初始化的数据段 C 公共数据段 D 初始化后的数据段 N 一个调试符号 R 一个只读数据段中的符号 T 一个代码数据段中的符号 U 一个未定义的符号,mn的-l选项可以列出行编号，如果有调试信息，则该选项很有用。rootunix#nm al zapdebug0804872a T kill_lastlog/home/johndoe/zap.c:5908048500 T kill_utmp/home/johndoe/zap.c:17080485e0 T kill_wtmp/home/johndoe/zap.c:33,13,编译技术和文件分析 file Z strings a Z Upx d Z o foo file Z strings a foo,14,静态分析是一种不需要实际运行恶意代码的工具分析方法。因为不运行代码，所以无论目标代码是什么类型，都可以在任何操作系统环境中进行静态分析。步骤确定检查文件的类型查看二进制文件中包含的ASCII和Unicode字符串进行在线调查，确定工具是否是计算机安全或黑客网站上流行的某种工具，并与之比较如果拥有源代码，可进行源代码检查,黑客工具的静态分析,确定文件类型,确定要分析的可执行文件后，下一步就是要确定该可执行文件的编译方式，以及编译生成该文件的操作系统环境和架构。一般来说包括以下几种常见的类型：Windows 下的可执行文件或者动态链接库文件Linux a.out、elf、脚本文件Solaris a.out、elf、脚本文件Dos 32位COFF文件Dos16位可执行文件,UNIX下的file命令 可以精确地指出文件的编译方式，以及文件运行所需的操作系统。Windows下的exetype命令,检查ASCII和Unicode字符串,基本的静态分析方法涉及检查二进制文件中ASCII字符串，通过识别一些关键字、命令行参数和变量，可以洞察程序的目的 strings 十六进制编辑器,黑客工具的动态分析,动态分析指运行恶意代码并研究它与主机操作系统的交互。监视时间和日期戳以确定黑客工具影响什么文件运行该程序以截获它的系统调用进行网路监视确定是否有网络数据包产生监视基于Windows的可执行文件如何与注册表进行交互,创建沙箱环境进行动态工具分析，实际上就是运行恶意文件以记录它对系统的影响。因此，你需要投入时间来建立适当的测试环境。首先，要保证具备运行目标代码所需的操作系统和架构，同时，最好在测试系统上安装VMware。,VMware可以让你在一个受控的环境下运行恶意代码，保护司法鉴定工作站免遭破坏。VMware具有一个特性，称为非持久性写入，它允许测试者运行恶意代码，而代码造成的破坏不会被保存到硬盘上。网络资源Vmware：http：/,Windows系统下的动态分析,Windows系统下的动态分析，即运行恶意代码，使用工具来监控它与文件系统、注册表、应用编程接口（API）和操作系统之间是如何交互的。,对Windows程序进行动态分析时，我们使用的工具有Filemon、Regmon、ListDLLs、Fport和PsList。网络资源 Filemon、Regmon、ListDLLs和Pslist：http：/Fport:http:/,使用Filemon Filemon工具能在运行中的进程和文件系统之间提供窃听功能。它截取进程对文件系统的所有访问和查询。当你执行恶意代码时，它能帮你确定程序读、写和访问过的所有文件。,使用Regmon Regmon工具能够监视进程与Windows注册表的交互。它不用很长时间就能帮你找出那些程序在执行过程中查询、列举和关闭了950多个注册表键。你可以设定Regmon的过滤器，集中检查某些相关的键。Regmon的另一个好处是它提供了对注册表编辑器的直接访问。,使用ListDLLs ListDLLs可以显示进程所需要的所有DLL，它能列出进程装载的DLL的完整路径名。ListDLLs是一个用来识别所有已执行文件的完整命令行的优秀工具。使用Fport和PsList Fport和PsList是在Windows系统上进行动态分析的主要工具。Fport在执行恶意程序之前和之后运行，以确定进程是否打开过任何网络套接字。PsList可以用来确定程序在运行后是否修改了进程名。,Windows下的深入分析,本章描述的工具只是提供了初级的分析方法。反编译和调试是分析的下一步。这个领域有几个非常优秀的工具，例如IDA Pro和SoftICE。,网络资源IDA Pro：http：/一款交互式的，可编程的，可扩展的，Windows平台上的支持多种处理器的反汇编程序。被公认为最好的花钱可以买到的反汇编利器，IDA Pro已经成为事实上的分析敌意代码的标准并让其自身迅速成为攻击研究领域的重要工具。SoftICE http:/,小结,正确的工具分析有助于防止未来的攻击,确定受破坏程度和确定入侵者的数量和类型。正确的工具分析对应急响应的恢复和清除阶段也非常有用。识别出黑客工具的类型、名称和位置之后，你可以扫描网络以查找其他地方是否存在相同的黑客工具。,问题,1、哪种类型的二进制文件分析起来更困难：动态编译二进制文件还是静态编译二进制文件？为什么？,动态编译的二进制文件更难分析，因为它们的体积更小，并且修改可能是在关联库中进行而不是在二进制文件内部进行的。2、描述一下动态分析的关键因素。,对动态分析来说，关键的因素是建立真正的沙箱环境。沙箱环境不应和网络（尤其是Internet）相连，并且它所在的系统应可以重建。系统还应该模拟真实环境的操作系统，所打的补丁，安装的软件，等等。,