本文目录导读:
恶意软件分析是一个系统工程,通常分为静态分析和动态分析两大流派,以及更高级的内存取证和网络行为分析,下面是一个从入门到精通的实战级分析流程,希望对你有帮助。
第一阶段:静态分析(不动手,先看书)
静态分析的核心是不运行恶意代码,通过观察文件特征、结构、代码片段等“死”数据来判断其意图。
- 文件识别与哈希
- 工具: 计算MD5/SHA1/SHA256。
- 动作: 将哈希值上传到 VirusTotal(病毒检测平台),看有多少杀软报毒,这是判断样本是否恶意的第一步。
- 字符串提取
- 工具:
strings命令、BinText。 - 关注点:
- 域名/IP:C2(Command and Control,命令与控制)服务器地址。
- 注册表路径:持久化驻留点。
- API函数名:如
CreateRemoteThread(远程线程注入)、URLDownloadToFile(下载文件)、RegSetValue(修改注册表)。 - 特定关键词:“Mutex”(互斥体,防止重复感染)、加密密钥、配置文件路径。
- 工具:
- PE(Portable Executable,可执行文件)结构分析
- 工具: PEiD、Exeinfo PE、CFF Explorer。
- 检查项:
- 加壳检测:是否被UPX、ASPACK、VMProtect等加壳,加壳是常见的反分析手段,需要先脱壳。
- 导入/导出表:查看样本调用了哪些系统DLL(动态链接库)的函数,调用
WS2_32.dll(网络通信库)和advapi32.dll(安全账户管理器库)的组合,通常暗示有网络活动。
- 反汇编/反编译
- 工具: IDA Pro(业界标杆)、Ghidra(开源神器,由NSA开发)、x64dbg。
- 动作: 如果样本没有加壳,可以直接进入反汇编层面查看其核心逻辑,查找
socket、connect、send、recv等API调用的位置。
第二阶段:动态分析(让子弹飞一会儿)
动态分析的核心是在安全的沙箱或虚拟机中实际运行恶意软件,观察它的行为。
⚠️ 重要前提: 必须在隔离环境(如VMware、VirtualBox)中运行,并关闭网络或使用“网络模拟器”(如INetSim)。
- 进程监控
- 工具: Process Monitor (微软Sysinternals)、Process Hacker、Process Explorer。
- 动作: 监控进程创建、线程注入、DLL注入、句柄操作。
- 关键行为:
- 创建子进程(如cmd.exe、powershell.exe)执行命令。
- 修改已有进程内存(进程镂空)。
- 隐藏自身进程(Rootkit(内核级隐藏)行为)。
- 文件系统监控
- 工具: Process Monitor(需过滤
Path包含.exe、.dll、.sys等)。 - 动作:
- 它修改了哪些文件?
- 它是否在
C:\Windows\System32(系统目录)、AppData、Temp目录下释放了副本(持久化)? - 它是否修改了hosts文件或感染了本地文档?
- 工具: Process Monitor(需过滤
- 注册表监控
- 工具: Process Monitor(过滤
Reg*操作)、RegShot(前后快照对比)。 - 关键路径:
Run/RunOnce(开机自启动)Services子键 (注册为服务)Image File Execution Options(映像劫持)
- 工具: Process Monitor(过滤
- 网络行为监控
- 工具: Wireshark(抓包分析)、Fiddler(HTTP/HTTPS解密)、NetMon。
- 动作:
- 记录所有DNS查询、HTTP请求、TCP/UDP连接。
- 关键发现: C2服务器的IP、请求的URL(如
/gate.php)、使用的协议(HTTP、DNS Tunnel(DNS隧道)、ICMP(Internet控制报文协议))。 - 检查是否有异常的心跳包(例如每隔10秒发送一个空HTTP GET)。
- 系统行为自动化(沙箱)
- 推荐: Cuckoo Sandbox(开源经典)、CAPE(Cuckoo加强版)。
- 输出: 自动生成详细报告,包含上述所有监控数据,甚至内存截图和网络流量PCAP(数据包捕获)包。
第三阶段:进阶分析(深入虎穴)
当基础静态和动态分析无法满足需求时,比如面对无文件攻击、加密通信或高度混淆的代码。
- 内存取证
- 工具: Volatility 3(内存分析框架)、Redline(FireEye出品)。
- 场景: 捕获运行时的完整内存镜像,分析隐藏在内存中的代码、解密后的字符串、注入的DLL(动态链接库)、进程树关系。
- 例子: 从内存中提取出C2的完整域名和马的程序在内存中的配置结构体。
- 调试与逆向
- 工具: x64dbg(Windows)、GDB(Linux)、IDA + Windbg (组合拳)。
- 动作: 动态、单步调试代码,设置断点,观察寄存器变化,追踪异常处理(反调试陷阱)。
- 目的: 破解算法(如RC4、AES)、找到解密密钥、理解加密流的生成逻辑。
- 日志与网络流量深度分析
- 工具: YARA(基于规则的恶意样本识别)、Sigma (通用日志告警规则)。
- 动作: 将恶意软件的网络特征(如特定UA(用户代理头)、Payload(有效载荷)前缀、TLS(传输层安全协议)指纹)编写成规则,用于大规模检测。
实战分析流程(推荐路线)
- 拿到样本 → 计算哈希 → 上传 VirusTotal 查杀和被动DNS。
- 扫描字符串 → 找到域名、IP、URL、API。
- 扔进沙箱(Cuckoo/CAPE) → 获取自动化报告。
- 若沙箱无有效结果(如检测到虚拟机退出、需要参数) → 手动在虚拟机执行,同时打开 Process Monitor(进程监视器)+ Wireshark(抓包工具)。
- 分析 Process Monitor 日志 → 找出所有 文件/注册表/进程 写入操作。
- 从 Wireshark 流量中提取可疑流量 → 尝试解密(如C&C(命令与控制)协议是HTTP POST,可以尝试伪造回复)。
- 如果代码逻辑隐藏很深(如ShellCode(可执行代码段)) → 使用IDA/x64dbg调试,提取内存中的配置。
必须掌握的工具清单
| 类别 | 工具 |
|---|---|
| 静态分析 | IDA Pro、Ghidra、PEiD、Exeinfo PE、CFF Explorer、Strings |
| 动态分析 | Process Monitor、Process Hacker、Wireshark、Fiddler、RegShot |
| 自动化/沙箱 | Cuckoo/CAPE、Joe Sandbox Cloud(云端) |
| 内存取证 | Volatility 3 |
| 辅助分析 | YARA、HxD(十六进制编辑器)、dnSpy(.NET反编译) |
| 在线平台 | VirusTotal、Hybrid Analysis、Any.Run |
关键建议
- 保持对抗心态:恶意软件是活的,它会有反调试(检测断点)、反虚拟(检测VMTools)、反沙箱(检测上网行为或CPU核心数)、反静态(花指令、垃圾代码)等机制,你需要针对性地绕过。
- 环境准备:建议准备一个快照回到干净状态的 Windows 10 / 11 虚拟机,配置一个模拟网络(如INetSim + FakeDNS),让恶意软件以为自己成功连接了互联网,从而泄露更多行为。
- 记录一切:每一次分析,都要记录下哈希、可疑API、C2地址、持久化位置、加密算法等,方便后续关联分析。
希望这个框架能帮你建立起系统的恶意软件分析思路,如果你手头有具体的样本,也可以从第一步哈希查杀开始尝试。
