前言
通常进行病毒分析,需要有一个配置好的病毒分析环境,fireeye之前也出过配置好的虚拟机,但是虚拟机安装过程很慢,不如我们自己配置一个,下边对虚拟机的配置和病毒分析的基本原则进行展开说明,打好病毒分析的第一步。
虚拟机环境配置
以vmware为例,对虚拟机相关操作进行说明
系统准备
在虚拟机中下载和安装操作系统如下,虚拟机安装系统过程跟普通安装一样,但需要保证磁盘的大小足够,保证后续做快照时避免出现磁盘不足的情况:
-
win7系统 sp1及以上
-
win10 系统
基本设置
-
不要把U盘连上虚拟机,或者设置一下虚拟机防止自动连接U盘;
-
虚拟化Intel VT-x/EPT或AMD-V/RVI 勾选(设置–处理器)
-
文件选项->显示扩展名和隐藏文件;查看->详细信息:为的是直接看出文件的后缀等其他信息,防止文件伪造和欺骗。
-
网络要求host-only 或者断网
虚拟机基本操作步骤
-
在进行恶意软件分析前,分析工具安装好后,创建快照,目的是在往后可以恢复感染前的状态;快照
创建快照过程如下:
右键拍摄快照:
拍摄快照并填写快照描述,如下图示例:
-
每次需要安装新工具时,就先恢复一次快照,之后安装工具,再重新创个快照(PS:根据需要,可以再将中间多余的快照去除)
-
快照可以回滚到基础快照再拍快照,这样可以有分支:当一个分析没有结束时可以分析另一个
-
样本只能通过哈希值查询,不允许将样本进行上传。如使用pebear打开病毒,可以看到哈希值:
工具安装
病毒分析少不了好用的工具,在这推荐一些 好用的各类型的分析工具
PE相关工具
查看程序PE的信息,对程序是否加壳等信息有初步的了解
-
ExeinfoPe
-
LordPE
-
PE-bear
-
pestudio
动态调试工具
病毒分析时有不明白的细节时,使用动态调试,逐步理解程序执行流程;或者,病毒常将数据进行加密,在解密后执行shellcode,此时使用动态调试可以直接获取解密后的shellcode。
-
x64dgb:分析PE文件的利器,开源项目,有良好的社区环境
-
dnSpy:.net语言 反编译工具
-
WinDbg:包含在Windows 调试工具中的内核模式和用户模式调试器
-
吾爱破解专用版Ollydbg:OD,老牌调试器了,最近出了64位的
静态分析工具
病毒分析时需要反编译源文件并查看功能函数的实现和程序逻辑流程,此时需要用到静态分析工具。
-
ida pro:静态反编译神器
-
Binary Ninja:同上
-
Jeb Decompiler:安卓反编译器
-
jd-gui:同上
行为分析工具
病毒执行时有一系列的操作:包括注册表、创建文件、通信等,行为分析工具可以捕获这些行为信息,帮助我们了解病毒行为。
-
ProcessExplorer
-
ProcessMonitor
-
火绒剑
-
SysTracer
十六进制编辑器
-
010Editor
网络相关工具
-
inetsim :Linux环境下的工具,用于模拟病毒通信
-
wireshark :抓取流量包,获取病毒通信
其他软件
-
CyberChef:用于加密、编码、压缩和数据分析的程序
-
Sublime Text 3:文本编辑器,有病毒分析相关插件
脱壳器
-
XVolkolak:能够解开大部分的壳,脱壳方便
注:在安装好这些工具后要做基础快照。
总结
本文主要介绍了病毒分析的基本环境搭建,其中做快照的步骤和设置比较重要,给读者提供一个做快照的思路。
在后续文章中会对逐个工具进行病毒分析的实操讲解。
声明
-
本文初衷为分享网络安全知识,请勿利用技术做出任何危害网络安全的行为,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,与SpaceSec安全团队及作者无关!
-
文章中部分学习内容来自于网络,回馈予网络,如涉及版权问题,请联系删除。
-
SpaceSec 保留对文章绝对的解释权,转载与传播时须保证文章的完整性,同时标明出处。未经允许,禁止转载或用于商业用途。
-
加小编,进内部技术交流群,还有不定期福利,微:SpaceSec_S
原文始发于微信公众号(SpaceSec安全团队):病毒分析系列 _ 病毒分析环境搭建