【文章內(nèi)容簡(jiǎn)介】 ? 內(nèi)核調(diào)用 中國(guó)安天實(shí)驗(yàn)室 57 惡意代碼動(dòng)態(tài)分析工具 ?PEID ?Stud_PE ?OLLYDBG 中國(guó)安天實(shí)驗(yàn)室 58 惡意代碼分析處置流程 ? 對(duì)惡意代碼文件進(jìn)行“文件細(xì)化”處置。 ? 加密壓縮文件 ? 包裹文件 ? 嵌入 /捆綁文件 ? 其它類可細(xì)化文件 中國(guó)安天實(shí)驗(yàn)室 59 惡意代碼分析處置流程 ? 綜合分析結(jié)論 ? 本地行為 ? 網(wǎng)絡(luò)行為 ? 傳播方式 ? 運(yùn)行位置 ? 感染方式 ? 其它結(jié)果等 中國(guó)安天實(shí)驗(yàn)室 60 惡意代碼分析處置流程 ? 最終分析報(bào)告與惡意代碼的解決方案 ? 特征碼提取方式 ? 手動(dòng)清除方式 ? 使用工具等 中國(guó)安天實(shí)驗(yàn)室 61 中國(guó)安天實(shí)驗(yàn)室 惡 意 代 碼 分 析 規(guī) 范文 件 細(xì) 化細(xì) 化 后 是 一 個(gè) 文 件 ?單一惡意代碼分析　 　 　 ? ?多 個(gè) 惡 意 代 碼 逐 一 分 析單一惡意代碼分析單一惡意代碼分析單一惡意代碼分析多 個(gè) 惡 意 代 碼 整 合 分 析得 出 綜 合 分 析 結(jié) 論本地行為網(wǎng)絡(luò)行為傳播方式運(yùn)行位置感染方式其它結(jié)果等是 否得 出 最 終 分 析 報(bào) 告 與 惡 意 代 碼 的 解 決 方 案（ 得 出 特 征 碼 提 取 方 式 ， 手 動(dòng) 清 除 方 式 ， 使 用 工 具 等 ）惡意代碼分析處置流程 ? 文件細(xì)化描述： ? 加密壓縮文件 －＞ 解壓 /解密 ? 包裹文件 －＞ 解壓 /安裝 ? 嵌入 /捆綁文件 －＞ 提取 ? 其它類可細(xì)化文件 －＞ 對(duì)應(yīng)分析 中國(guó)安天實(shí)驗(yàn)室 63 惡意代碼分析處置流程 文件細(xì)化 中國(guó)安天實(shí)驗(yàn)室 文 件 細(xì) 化加密壓縮文件包裹文件嵌入/捆綁文件其它類可細(xì)化文件獲 得 一 個(gè) 或 多 個(gè) 細(xì) 化 后 惡 意 代 碼 文 件解壓/解密解壓/安裝提取對(duì)應(yīng)分析64 惡意代碼行為分析 ?文件行為 ?進(jìn)程行為 ?窗口類相關(guān)行為 ?注冊(cè)表行為 ?服務(wù)相關(guān)行為 ?網(wǎng)絡(luò)相關(guān)行為 中國(guó)安天實(shí)驗(yàn)室 65 惡意代碼行為分析工具 ?惡意代碼行為分析工具： ? Filemon ? Regmon ? RegSnap ? Icesword ? Autorun ? …… 中國(guó)安天實(shí)驗(yàn)室 66 惡意代碼分析工具 Filemon ?Filemon 是一個(gè)出色的文件系統(tǒng)監(jiān)視軟件，它將所有與文件一切相關(guān)操作 (如讀取、修改、出錯(cuò)信息等 )全部記錄下來(lái)以供用戶參考，并允許用戶對(duì)記錄的信息進(jìn)行保存、過(guò)濾、查找等處理，這就為用戶對(duì)系統(tǒng)的維護(hù)提供了極大的便利。 中國(guó)安天實(shí)驗(yàn)室 67 惡意代碼分析工具 Regmon ?Windows注冊(cè)表監(jiān)視工具，可以實(shí)時(shí)監(jiān)視并顯示對(duì)整個(gè)系統(tǒng)注冊(cè)表的訪問(wèn)，該工具可以幫助我們了解 Windows 如何工作以及跟蹤與注冊(cè)表設(shè)置錯(cuò)誤有關(guān)的問(wèn)題。 中國(guó)安天實(shí)驗(yàn)室 68 惡意代碼分析工具 RegSnap ?RegSnap可以詳細(xì)地向你報(bào)告注冊(cè)表及其他與系統(tǒng)有關(guān)項(xiàng)目的修改變化情況。 RegSnap 對(duì)系統(tǒng)的比較報(bào)告非常具體，對(duì)注冊(cè)表可報(bào)告修改了哪些鍵，修改前、后的值各是多少；增加和刪除了哪些鍵以及這些鍵的值。報(bào)告結(jié)果既可以以純文本的方式，也可以 html 網(wǎng)頁(yè)的方式顯示，非常便于查看。除系統(tǒng)注冊(cè)表以外， RegSnap 還可以報(bào)告系統(tǒng)的其他情況： Windows 的系統(tǒng)目錄和系統(tǒng)的 system 子目錄下文件的變化情況，包括刪除、替換、增加了哪些文件；Windows 的系統(tǒng)配置文件 和 的變化情況，包括刪除、修改和增加了哪些內(nèi)容；自動(dòng)批處理文件 是否被修改過(guò)。該軟件可以在需要的時(shí)候方便地恢復(fù)注冊(cè)表，可以直接調(diào)用 regedit 程序查看或修改注冊(cè)表，還可以查看當(dāng)前機(jī)器的機(jī)器名和用戶名。 中國(guó)安天實(shí)驗(yàn)室 69 惡意代碼分析工具 Icesword ?IceSword適用于 Windows 2022/XP/2022/Vista操作系統(tǒng) ?IceSword內(nèi)部功能是十分強(qiáng)大的?？赡苣灿眠^(guò)很多類似功能的軟件，比如一些進(jìn)程工具、端口工具，但是現(xiàn)在的系統(tǒng)級(jí)后門功能越來(lái)越強(qiáng)，一般都可輕而易舉地隱藏進(jìn)程、端口、注冊(cè)表、文件信息，一般的工具根本無(wú)法發(fā)現(xiàn)這些“幕后黑手”。IceSword使用大量新穎的內(nèi)核技術(shù)，使得這些后門躲無(wú)所躲。 中國(guó)安天實(shí)驗(yàn)室 70 惡意代碼分析工具 Procexp ?Procexp非常強(qiáng)大，一般的進(jìn)程管理軟件只可以查看進(jìn)程，結(jié)束進(jìn)程， Procexp 可以在 2022 xp 2022 下正常運(yùn)行，有一般進(jìn)程管理軟件的功能之外，還能搜索 dll 結(jié)束線程，比如網(wǎng)際快車線程數(shù)，結(jié)束 dll文件加載，這對(duì)查殺木馬非常有用 。 中國(guó)安天實(shí)驗(yàn)室 71 惡意代碼分析技術(shù) Autoruns ?Sysinternals公司出品，可查看、刪除注冊(cè)表及。如果懷疑有木馬或病毒或者系統(tǒng)啟動(dòng)太慢，用本工具看看自啟動(dòng)項(xiàng)吧。 此新版中，可查看各個(gè)用戶的啟動(dòng)項(xiàng)，而且刪除 Userinit 項(xiàng)目時(shí)會(huì)發(fā)出安全警告，以及其它一些改進(jìn)，推薦更新！ 中國(guó)安天實(shí)驗(yàn)室 72 知識(shí)域：信息安全漏洞 ?知識(shí)子域：安全漏洞基礎(chǔ) ? 理解漏洞的概念，分類分級(jí) ? 了解漏洞的危害、產(chǎn)生的原因 ? 了解常用的漏洞庫(kù)： CNNVD、 CVE等 ?知識(shí)子域：安全漏洞檢測(cè) ? 了解基于源代碼的漏洞檢測(cè)方法與技術(shù) ? 了解基于二進(jìn)制代碼的漏洞檢測(cè)方法與技術(shù) 73 漏洞在信息安全中的位置 通用準(zhǔn)則（ ISO/IEC15408） 74 什么是漏洞 ?漏洞（ Vulnerability）又叫脆弱性，這一概念早在 1947年馮 ?諾依曼建立計(jì)算機(jī)系統(tǒng)結(jié)構(gòu)理論時(shí)就有涉及，他認(rèn)為計(jì)算機(jī)的發(fā)展和自然生命有相似性，一個(gè)計(jì)算機(jī)系統(tǒng)也有天生的類似基因的缺陷，也可能在使用和發(fā)展過(guò)程中產(chǎn)生意想不到的問(wèn)題。 ?1970－ 80年代，早期黑客的出現(xiàn)和第一個(gè)計(jì)算機(jī)病毒的產(chǎn)生，軟件漏洞逐漸引起人們的關(guān)注。 ?隨著計(jì)算機(jī)應(yīng)用的發(fā)展和互聯(lián)網(wǎng)絡(luò)的出現(xiàn)，漏洞相繼在軟件、硬件、管理過(guò)程，甚至人的環(huán)節(jié)出現(xiàn)，引起病毒泛濫、黑客猖獗，使得安全漏洞成為網(wǎng)絡(luò)空間的一個(gè)現(xiàn)實(shí)、熱門話題。 75 學(xué)者們的解釋： Denning做出的定義 ?1982年，從訪問(wèn)控制角度將漏洞定義為：導(dǎo)致操作系統(tǒng)執(zhí)行的操作和訪問(wèn)控制矩陣所定義的安全策略之間相沖突的所有因素。 76 學(xué)者們的解釋： Longstaff的定義 ?1990年，從風(fēng)險(xiǎn)管理角度將漏洞定義為： ? 存在于自動(dòng)化系統(tǒng)安全過(guò)程、管理控制以及內(nèi)部控制等中的缺陷，它能夠被攻擊者所利用，從而獲得對(duì)信息的非授權(quán)訪問(wèn)或者破壞關(guān)鍵數(shù)據(jù)處理； ? 或是在物理層、組織、程序、人員、軟件或硬件方面的缺陷，它能夠被利用而導(dǎo)致對(duì)自動(dòng)數(shù)據(jù)處理系統(tǒng)或行為的損害； ? 或是信息系統(tǒng)中存在的任何不足或缺陷。 77 學(xué)者們的解釋： Bishop的定義 ?1996年，使用狀態(tài)空間描述的方法給出了漏洞的定義認(rèn)為： ? 信息系統(tǒng)是由若干描述實(shí)體配置的當(dāng)前狀態(tài)所組成的，漏洞就是指區(qū)別于所有非受損狀態(tài)的容易受攻擊的特征 ? 通俗來(lái)講“攻擊者利用程序、技術(shù)或者管理上的失誤，得到了未被授權(quán)的訪問(wèn)或操作權(quán)限。這些控制上的失誤稱為系統(tǒng)漏洞或安全缺陷” 78 標(biāo)準(zhǔn)機(jī)構(gòu)的定義 ? 1999年， ISO/IEC15408（ GB/T18336）定義：漏洞是存在于評(píng)估對(duì)象（ TOE）中的，在一定的環(huán)境條件下可能違反安全功能要求的弱點(diǎn)； ? 2022年，美國(guó) NIST《 信息安全關(guān)鍵術(shù)語(yǔ)詞匯表 》 定義：漏洞是指存在于信息系統(tǒng)、系統(tǒng)安全