Огляд інструментів для аналізу шкідливих програм
Найчастіше, коли ви вперше стикаєтеся з шкідливою програмою, вам хочеться зрозуміти, як це все працює, які дії вона виконує, як потрапляє на комп'ютер і так далі. Розглянемо, як створити віртуальне середовище для тестування і налагодження шкідливого файлу, що допоможе нам зрозуміти, як він поширюється, які дії він виконує на зараженому комп'ютері, які мережеві комунікації він реалізує.
- Вступ
- лабораторія
- Інструменти
- ProcDOT
- Process Monitor v3.40
- висновки
Вступ
Для аналізу шкідливих програм існує цілий ряд безкоштовних інструментів з відкритим вихідним кодом. Ми опишемо завантаження і установку деяких з цих інструментів, щоб зрозуміти, як вони працюють.
лабораторія
В цілому, є два шляхи створення лабораторії для тестування шкідливих програм: можна використовувати програмне забезпечення для віртуалізації, наприклад VirtualBox або VMware, або ж використовувати старі, але все ще працюють комп'ютери, які, скажімо, завалялися у вас вдома.
У випадку з віртуальним середовищем, після навмисного зараження її шкідливими програмами завжди можна буде повернути її в початковий стан. Якщо ж ви вибираєте другий варіант, будьте вкрай уважні і переконайтеся, що ваша лабораторія ізольована від робочої мережі, щоб запобігти небажаному поширення шкідливих програм.
Подивимося, які інструменти можуть вам допомогти в цьому питанні.
Інструменти
Можливо, ви будете здивовані, але для аналізу шкідливих програм існує безліч інструментів, багато з яких доступні безкоштовно. Розкладемо типи інструментів, які нам знадобляться, по пунктах:
- Програма для моніторингу процесів, схожа на диспетчер задач Windows, проте вона має в своєму розпорядженні набагато більшими можливостями.
- Мережевий аналізатор, подібний wirehark, щоб вивчити спосіб підключення шкідливий до його автору.
- Аналізатор коду. Як правило, дуже складно деобфусціровать шкідливий код, але якщо це вдасться зробити, у вас буде багато інформації.
- Безкоштовний онлайн-аналізатор шкідливих програм, такий, як перераховані тут , Щоб автоматизувати ці дії.
Спробуємо заглибитися у вивчення пари цікавих інструментів.
ProcDOT
ProcDOT унікальний в своєму жанрі. Фактично він об'єднує дві основні функції: моніторинг процесів і аналізатор мережі. Зазвичай ці два інструменти розділені, що значно ускладнює розуміння того, як шкідливий процес ділиться інформацією.
Малюнок 1. Схема роботи ProcDOT
ProcDOT вирішує цю проблему як інструмент «все-в-одному», тому його наявність у вашій лабораторії будемо вважати обов'язковим. Функціями ProcDOT є:
- Кореляція даних Procmon і PCAP
- Подання у вигляді інтерактивного графіка
- Режим анімації для легкого розуміння аспектів таймінгу
- Розумні алгоритми для фокуса на релевантної інформації
- Виявлення і візуальне уявлення шкідливих ін'єкцій (thread injection)
- Кореляція мережевих дій і процесів
- Тимчасова шкала активності
- Повнотекстовий пошук вмісту графіка, також відображається в рядку тимчасової шкали активності
- Фільтри для очищення непотрібної інформації (глобальні і сеансу)
- Підтримка різних режимів узгодження
Щоб завантажити ProcDOT, скористайтеся наступними посиланнями: для Linux , для Windows .
Process Monitor v3.40
Process Monitor v3.40, як ви можете здогадатися по його назві, орієнтований тільки на моніторинг процесів. Він призначений для роботи виключно з Windows і є розширеним диспетчер задач, здатний виконувати перевірку працездатності в реальному часі, а також фіксує деталі процесу включаючи користувача, ідентифікатор сеансу, командний рядок тощо.
Малюнок 2. Робоче вікно Process Monitor
Process Monitor v3.40 також дозволяє реєструвати час завантаження для всіх операцій, він поєднує в собі функції двох програм sysinternal, які в даний момент не підтримуються, - Filemon і Regmon. Filemon надає корисну інформацію про активність системи, а Regmon детально показує використання реєстру Windows.
Всі ці функції роблять Process Monitor v3.40 корисним інструментом, використовуваним для системного адміністрування, комп'ютерної криміналістики і налагодження додатків. Більш того, він теж повністю безкоштовний.
висновки
Все, про що ми поговорили вище, допоможе вам почати самостійно аналізувати шкідливі програми. Тепер, коли є базові знання, ви можете пробувати приступати до аналізу, поступово нарощуючи їх. Завантажуйте програми, визначайтеся з типом своєї лабораторії і дерзайте!