试验-探索自动化病毒样本动态行为分析系统中的漏洞
2015-09-10 10:57
337 查看
没有分析的生活是毫无意义的.—苏格拉底
试验-探索自动化病毒样本动态行为分析系统中的漏洞
fireeye.ijinshang.com
金山火眼
反馈原理:利用该系统中反馈样本信息的特点反馈可控信息.即使是一个Bool已足够.更详细的资料参看这里:反向探测>病毒虚拟机’特征
系统信息
操作系统版本
进程列表
启动项信息
桌面信息
……
硬件信息
硬件种类数量类型
分区信息
硬件厂商
……
为了防止分析系统不能反馈信息:
无害信息不报告
不需要报告的时候被检测出样本
我们采取的策略是:
将已知病毒体加密后放在靶程序资源区.按通过探测不同的环境信息的结果选择释放或者不释放样本.
用释放样本的名字传递出更多信息.
火眼分析系统中竟然存在Z盘……太……
以下是我用一分钟想出来的方法:
内存膨胀-大大大
重启解密~传参解密
远程获取解密密钥解密。
-……
因为安全性就在那里,你不管它,它从不增加.表面光鲜可爱,实则千疮百孔.
笔者想强调的是:
DT时代,数据流的监视的必要性,以及算法识别及防护的必要性。
这都是对传统虚拟机分析的考验。-有感于最近微软的Sonar计划
试验-探索自动化病毒样本动态行为分析系统中的漏洞
实验设计
试验目的:
通过设计实验探寻主流在线分析工具中可能存在的一些漏洞,期望从中归纳出改善自动分析工具的分析能力.被测试目标:
自动化的病毒样本动态行为分析系统fireeye.ijinshang.com
金山火眼
实验步骤:
环境探测
目的:通过对虚拟分析系统环境特征的分析找出能用来区别虚拟分析系统环境和普通用户机的特征.反馈原理:利用该系统中反馈样本信息的特点反馈可控信息.即使是一个Bool已足够.更详细的资料参看这里:反向探测>病毒虚拟机’特征
系统信息
操作系统版本
进程列表
启动项信息
桌面信息
……
硬件信息
硬件种类数量类型
分区信息
硬件厂商
……
为了防止分析系统不能反馈信息:
无害信息不报告
不需要报告的时候被检测出样本
我们采取的策略是:
将已知病毒体加密后放在靶程序资源区.按通过探测不同的环境信息的结果选择释放或者不释放样本.
用释放样本的名字传递出更多信息.
环境漏洞分析与探测
绕过策略:火眼分析系统中竟然存在Z盘……太……
逻辑漏洞介绍与探测
直接判断系统环境进行病毒体的释放,容易被现有自动虚拟机发觉.以下是我用一分钟想出来的方法:
内存膨胀-大大大
重启解密~传参解密
远程获取解密密钥解密。
-……
本文撰写目的
撰写本文不是为了破坏谁的安全性.因为安全性就在那里,你不管它,它从不增加.表面光鲜可爱,实则千疮百孔.
笔者想强调的是:
DT时代,数据流的监视的必要性,以及算法识别及防护的必要性。
这都是对传统虚拟机分析的考验。-有感于最近微软的Sonar计划
相关文章推荐
- HTML学习笔记 day two
- 工程中常用的几种宏判断
- POJ 1284:Primitive Roots 求原根的数量
- Juniper ssg 550m HA 配置
- 【未完】mariadb数据库安装,修改数据库路径
- 如何解决谷歌浏览器下jquery无法获取图片的尺寸
- mongoskin封装mongdo驱动的调用方式
- 详解DNS安装及配置多个二级域名的三种方法(图文教程)
- 关于iOS 真机不能调试process launch failed: timed out waiting for app to launch 和 failed to get the task for
- RHCSA 系列(三): 如何管理 RHEL7 的用户和组
- 如何选择一个适合自己的开源项目来阅读
- VX_A快捷键使用
- Android动画-TweenAnimation
- 微软编译器vs 编译器(cl.exe)和连接器参数
- Eclipse启动时卡死解决方法
- 使Linux终端朗读文字的小技巧分享
- Linux重启中init6与reboot的区别
- CentOS更改yum源
- iOS获取当前时区
- 详解ORACLE数据库的分区表