恶意代码的网络特征

网络行为的基本属性包括IP地址、TCP与UDP端口、域名,以及流量内容等,网络和安全设备可以利用它们,来提供网络应对措施。

1、在原始环境中观察恶意代码

   恶意代码分析的第一步不应该是在实验环境中运行恶意代码,也不应该是解刨恶意代码分析它的反汇编代码。与之相反的是,你应该首先查看已经获得的关于恶意代码的所有数据。恶意代码分析师经常是得到一个没有任何上下文的恶意代码样本,但在大多情况下,你可以获取额外的更多数据。开始恶意代码网络行为分析的最好方法是挖掘恶意代码已经生成的日志、报警以及网络包。

DomainTools (http://www.domaintools.com) ,这个网站提供了whois历史记录的查询,能够进行反向IP查询,来显示所有解析成某个特定IP地址的域名,以及反向whois查询。

RobTex(http://www.robtex.com),这个网站能够提供指向单个IP地址的多个域名,另外也集成其他一些有价值的信息,例如一个域名或IP地址是否在某个黑名单中。

BFK DNS logger(http://www.bfk.de/bfk_dnslogger_en.html),这个网站使用被动DNS监测信息。它是能够做这种检测的为数不多的免费资源之一,另外,其他一些被动DNS资源要求付费,或者限制专业安全研究人员使用。

2、结合动态和静态分析技术

    完全覆盖功能

    了解功能,以及输入和输出

    过度分析的危险

表面分析:对初始痕迹标识的分析,等同于沙箱输出

通信方法覆盖:理解恶意代码的每一种通信技术

操作可复制:创建一个可以运行恶意代码全部操作的工具(例如:服务端控制器)

代码覆盖:理解恶意代码的每个模块

posted @ 2016-11-18 20:31  linuxsec  阅读(426)  评论(0编辑  收藏  举报