惡意軟件分析訣竅與工具箱：對抗流氓軟件的技術(shù)與利器

《惡意軟件分析訣竅與工具箱——對抗“流氓”軟件的技術(shù)與利器》
第1章 行為隱匿 
1.1 洋蔥路由器(tor) 
1.2 使用tor研究惡意軟件 
1.3 tor缺陷 
1.3.1 速度 
1.3.2 不可信賴的tor操作員 
1.3.3 tor阻止列表 
1.4 代理服務(wù)器和協(xié)議 
1.4.1 超文本傳輸協(xié)議(http) 
1.4.2 socks4 
1.4.3 socks5 
1.5 基于web的匿名代理 
1.6 保持匿名的替代方法 
1.6.1 蜂窩internet連接 
1.6.2 虛擬專用網(wǎng) 
1.7 唯一且匿名 
第2章 蜜罐 
2.1 nepenthes蜜罐 
2.1.1 利用nepenthes收集惡意軟件樣本 
2.1.2 使用irc日志進(jìn)行實(shí)時(shí)攻擊監(jiān)視 
2.1.3 使用基于python的 http接收nepenthes提交的文件 
2.2 使用dionaea蜜罐 
2.2.1 使用dionaea收集惡意軟件樣本 
2.2.2 使用基于python的http接收dionaea提交的文件 
2.2.3 實(shí)時(shí)事件通告以及使用xmpp共享二進(jìn)制文件 
2.2.4 分析重放dionea記錄的攻擊 
2.2.5 使用p0f工具被動(dòng)識(shí)別遠(yuǎn)程主機(jī)操作系統(tǒng) 
2.2.6 使用sqlite 和gnuplot繪制dionaea記錄的攻擊模式圖 
第3章 惡意軟件分類 
3.1 使用clamav分類 
3.1.1 檢查現(xiàn)有clamav特征碼 
3.1.2 創(chuàng)建自定義clamav特征碼數(shù)據(jù)庫 
3.2 使用yara分類 
3.2.1 將clamav特征碼轉(zhuǎn)換到y(tǒng)ara格式特征碼 
3.2.2 使用yara和peid識(shí)別加殼文件 
3.2.3 使用yara檢測惡意軟件的能力 
3.3 工具集成 
3.3.1 使用python識(shí)別文件類型及哈希算法 
3.3.2 編寫python多殺毒掃描軟件 
3.3.3 python中檢測惡意pe文件 
3.3.4 使用ssdeep查找相似惡意軟件 
3.3.5 使用ssdeep檢測自修改代碼 
3.3.6 使用ida和bindiff檢測自修改代碼 
第4章 沙箱和多殺毒掃描軟件 
4.1 公用殺毒掃描軟件 
4.1.1 使用virus total掃描文件 
4.1.2 使用jotti掃描文件 
4.1.3 使用novirusthanks掃描文件 
4.1.4 啟用數(shù)據(jù)庫的python多殺毒上傳程序 
4.2 多殺毒掃描軟件的比較 
4.3 公用沙箱分析 
4.3.1 使用threatexpert分析惡意軟件 
4.3.2 使用cwsandbox分析惡意軟件 
4.3.3 使用anubis分析惡意軟件 
4.3.4 編寫joebox autoit腳本 
4.3.5 使用joebox應(yīng)對路徑依賴型惡意軟件 
4.3.6 使用joebox應(yīng)對進(jìn)程依賴型動(dòng)態(tài)鏈接庫 
4.3.7 使用joebox設(shè)置主動(dòng)型http代理 
4.3.8 使用沙箱結(jié)果掃描項(xiàng)目 
第5章 域名與ip地址 
5.1 研究可疑域名 
5.1.1 利用whois研究域 
5.1.2 解析dns主機(jī)名 
5.2 研究ip地址 
5.3 使用被動(dòng)dns和其他工具進(jìn)行研究 
5.3.1 使用bfk查詢被動(dòng)dns 
5.3.2 使用robtex檢查dns記錄 
5.3.3 使用domaintools執(zhí)行反向ip搜索 
5.3.4 使用dig啟動(dòng)區(qū)域傳送 
5.3.5 使用dnsmap暴力攻擊子域 
5.3.6 通過shadowserver將ip地址映射到asn 
5.3.7 使用rbl檢查ip信譽(yù) 
5.4 fast flux域名 
5.4.1 使用被動(dòng)dns和ttl檢測fast flux網(wǎng)絡(luò) 
5.4.2 跟蹤fast flux域名 
5.5 ip地址地理映射 
第6章 文檔、shellcode和url 
6.1 分析javascript 
6.1.1 使用spidermonkey分析javascript 
6.1.2 使用jsunpack自動(dòng)解碼javascript 
6.1.3 優(yōu)化jsunpack-n的解碼速度和完整性 
6.1.4 通過模擬瀏覽器dom元素觸發(fā)漏洞利用 
6.2 分析pdf文檔 
6.2.1 使用pdf.py從pdf文件中提取javascript 
6.2.2 偽造pdf軟件版本觸發(fā)漏洞利用 
6.2.3 利用didier stevens的pdf工具集 
6.2.4 確定利用pdf文件中的哪些漏洞 
6.2.5 使用distorm反匯編shellcode 
6.2.6 使用iibemu模擬shellcode 
6.3 分析惡意office文檔 
6.3.1 使用officemalscanner分析microsoft office文件 
6.3.2 使用disview和malhost-setup調(diào)試office shellcode 
6.4 分析網(wǎng)絡(luò)流量 
6.4.1 使用jsunpack從報(bào)文捕獲文件中提取http文件 
6.4.2 使用jsunpack繪制url關(guān)系圖 
第7章 惡意軟件實(shí)驗(yàn)室 
7.1 網(wǎng)絡(luò)互聯(lián) 
7.1.1 實(shí)驗(yàn)室中tcp/ip路由連接 
7.1.2 捕獲、分析網(wǎng)絡(luò)流量 
7.1.3 使用inetsim模擬internet 
7.1.4 使用burp套件操作http/https 
7.2 物理目標(biāo)機(jī) 
7.2.1 使用joe stewart開發(fā)的truman 
7.2.2 使用deep freeze保護(hù)物理系統(tǒng) 
7.2.3 使用fog克隆和映像磁盤 
7.2.4 使用mysql數(shù)據(jù)庫自動(dòng)調(diào)度fog任務(wù) 
第8章 自動(dòng)化操作 
8.1 惡意軟件分析周期 
8.2 使用python實(shí)現(xiàn)自動(dòng)化操作 
8.2.1 使用virtualbox執(zhí)行自動(dòng)化惡意軟件分析 
8.2.2 分析virtualbox磁盤以及內(nèi)存映像 
8.2.3 使用vmware執(zhí)行自動(dòng)化惡意軟件分析 
8.3 添加分析模塊 
8.3.1 在python中使用tshark捕獲報(bào)文 
8.3.2 在python中使用inetsim收集網(wǎng)絡(luò)日志 
8.3.3 使用volatility分析內(nèi)存轉(zhuǎn)儲(chǔ) 
8.3.4 組合所有的沙箱塊 
8.4 雜項(xiàng)系統(tǒng) 
8.4.1 使用zerowine和qemu執(zhí)行自動(dòng)化分析 
8.4.2 使用sandboxie和buster執(zhí)行自動(dòng)化分析 
第9章 動(dòng)態(tài)分析 
9.1 變化檢測 
9.1.1 使用process monitor記錄api調(diào)用 
9.1.2 使用regshot進(jìn)行變化檢測 
9.1.3 接收文件系統(tǒng)變化通知 
9.1.4 接收注冊表變化通知 
9.1.5 句柄表的差異比較 
9.1.6 使用handlediff研究代碼注入 
9.1.7 觀察bankpatch.c禁用windows文件保護(hù)的活動(dòng) 
9.2 api監(jiān)視/鉤子 
9.2.1 使用microsoft detours構(gòu)建api監(jiān)視器 
9.2.2 使用api監(jiān)視器追蹤子進(jìn)程 
9.2.3 捕獲進(jìn)程、線程和映像加載事件 
9.3 數(shù)據(jù)保護(hù) 
9.3.1 阻止進(jìn)程終止 
9.3.2 阻止惡意軟件刪除文件 
9.3.3 阻止加載驅(qū)動(dòng)程序 
9.3.4 使用數(shù)據(jù)保護(hù)模塊 
9.3.5 使用reactos創(chuàng)建定制命令shell 
第10章 惡意軟件取證 
10.1 the sleuth kit(tsk) 
10.1.1 使用tsk發(fā)現(xiàn)備用數(shù)據(jù)流 
10.1.2 使用tsk檢測隱藏文件和目錄 
10.1.3 使用microsoft脫機(jī)api查找隱藏注冊表數(shù)據(jù) 
10.2 取證/事件響應(yīng)混合 
10.2.1 繞開poison ivy鎖定的文件 
10.2.2 繞開conficker文件系統(tǒng)的acl限制 
10.2.3 使用gmer掃描rootkit 
10.2.4 通過檢查ie的dom檢測html注入 
10.3 注冊表分析 
10.3.1 使用regripper插件對注冊表取證 
10.3.2 檢測惡意安裝的pki證書 
10.3.3 檢查泄露數(shù)據(jù)到注冊表的惡意軟件 
第11章 調(diào)試惡意軟件 
11.1 使用調(diào)試器 
11.1.1 打開和附加到進(jìn)程 
11.1.2 為shellcode分析配置jit調(diào)試器 
11.1.3 熟悉調(diào)試器的圖形用戶界面 
11.1.4 檢查進(jìn)程內(nèi)存和資源 
11.1.5 控制程序執(zhí)行 
11.1.6 設(shè)置和捕獲斷點(diǎn) 
11.1.7 使用有條件的日志記錄斷點(diǎn) 
11.2 immunity debugger的python api接口 
11.2.1 使用python腳本和pycommand調(diào)試 
11.2.2 在二進(jìn)制文件中檢測shellcode 
11.2.3 調(diào)查silentbanker木馬的api鉤子 
11.3 winappdbg python調(diào)試器 
11.3.1 使用winappdbg工具操作進(jìn)程內(nèi)存 
11.3.2 使用winappdbg工具設(shè)計(jì)一個(gè)python api監(jiān)視器 
第12章 反混淆 
12.1 解碼常見算法 
12.1.1 python中的逆向xor算法 
12.1.2 使用yaratize檢測xor編碼的數(shù)據(jù) 
12.1.3 使用特殊字母解碼base64 
12.2 解密 
12.2.1 從捕獲的數(shù)據(jù)包中隔離加密數(shù)據(jù) 
12.2.2 使用snd反向工具、findcrypt和kanal搜索加密機(jī)制 
12.2.3 使用zynamics bindiff移植open ssl的符號(hào) 
12.2.4 在python中使用pycrypto解密數(shù)據(jù) 
12.3 惡意軟件脫殼 
12.3.1 查找加殼惡意軟件的oep 
12.3.2 使用lordpe轉(zhuǎn)儲(chǔ)進(jìn)程內(nèi)存 
12.3.3 使用imprec重建導(dǎo)入表 
12.4 與脫殼有關(guān)的資源 
12.5 調(diào)試器腳本 
12.5.1 破解域名生成算法 
12.5.2 使用x86emu和python解碼字符串 
第13章 處理dll 
13.1 枚舉dll的導(dǎo)出函數(shù) 
13.1.1 cff explorer 
13.1.2 pefile 
13.1.3 ida pro 
13.1.4 常見和不常見的導(dǎo)出名 
13.2 使用rundll32.exe執(zhí)行dll 
13.3 繞過宿主進(jìn)程的限制 
13.4 使用rundll32ex遠(yuǎn)程調(diào)用dll導(dǎo)出函數(shù) 
13.4.1 創(chuàng)建新工具的原因 
13.4.2 使用rundll32ex 
13.5 使用loaddll.exe調(diào)試dll 
13.5.1 將dll加載到調(diào)試器中 
13.5.2 找到dll的入口點(diǎn) 
13.6 捕獲dll入口點(diǎn)處的斷點(diǎn) 
13.7 執(zhí)行作為windows服務(wù)的dll 
13.7.1 服務(wù)dll的入口點(diǎn) 
13.7.2 服務(wù)初始化 
13.7.3 安裝服務(wù)dll 
13.7.4 傳遞參數(shù)給服務(wù) 
13.8 將dll轉(zhuǎn)換成獨(dú)立的可執(zhí)行文件 
第14章 內(nèi)核調(diào)試 
14.1 遠(yuǎn)程內(nèi)核調(diào)試 
14.2 本地內(nèi)核調(diào)試 
14.3 軟件需求 
14.3.1 使用livekd進(jìn)行本地調(diào)試 
14.3.2 啟用內(nèi)核調(diào)試啟動(dòng)開關(guān) 
14.3.3 調(diào)試vmware工作站客戶機(jī)(在windows系統(tǒng)中) 
14.3.4 調(diào)試parallels客戶機(jī)(在mac os x上) 
14.3.5 windbg命令和控制簡介 
14.3.6 探索進(jìn)程和進(jìn)程上下文 
14.3.7 探索內(nèi)核內(nèi)存 
14.3.8 在驅(qū)動(dòng)程序加載時(shí)捕捉斷點(diǎn) 
14.3.9 脫殼驅(qū)動(dòng)程序 
14.3.10 轉(zhuǎn)儲(chǔ)和重建驅(qū)動(dòng)程序 
14.3.11 使用windbg腳本檢測rootkit 
14.3.12 使用ida pro進(jìn)行內(nèi)核調(diào)試 
第15章 使用volatility進(jìn)行內(nèi)存取證 
15.1 內(nèi)存獲取 
15.1.1 使用moonsols windows內(nèi)存工具箱轉(zhuǎn)儲(chǔ)內(nèi)存 
15.1.2 使用f-response獲取遠(yuǎn)程、只讀內(nèi)存 
15.1.3 訪問虛擬機(jī)的內(nèi)存文件 
15.2 準(zhǔn)備安裝volatility 
15.2.1 volatility概覽 
15.2.2 在內(nèi)存轉(zhuǎn)儲(chǔ)中研究進(jìn)程 
15.2.3 使用psscan檢測dkom攻擊 
15.2.4 研究csrss.exe的備用進(jìn)程列表 
15.2.5 識(shí)別進(jìn)程上下文的技巧 
第16章 內(nèi)存取證：代碼注入與提取 
16.1 深入研究dll 
16.1.1 搜尋已加載的可疑dll 
16.1.2 使用ldr_modules檢測未鏈接的dll 
16.2 代碼注入和vad 
16.2.1 研究vad 
16.2.2 轉(zhuǎn)換頁面保護(hù) 
16.2.3 在進(jìn)程內(nèi)存中搜索證據(jù) 
16.2.4 使用malfind和yara識(shí)別注入代碼 
16.3 重建二進(jìn)制文件 
16.3.1 從內(nèi)存中重建可執(zhí)行文件的映像 
16.3.2 使用impscan掃描導(dǎo)入函數(shù) 
16.3.3 轉(zhuǎn)儲(chǔ)可疑的內(nèi)核模塊 
第17章 內(nèi)存取證：rootkit 
17.1 檢測iat鉤子 
17.2 檢測eat鉤子 
17.3 檢測內(nèi)聯(lián)api鉤子 
17.4 檢測idt鉤子 
17.5 檢測驅(qū)動(dòng)程序的irp鉤子 
17.6 檢測ssdt鉤子 
17.6.1 ssdt的角色 
17.6.2 鉤子和鉤子檢測 
17.7 使用ssdt_ex自動(dòng)研究 
17.8 根據(jù)附加的內(nèi)核線程搜索rootkit 
17.8.1 使用線程在內(nèi)核中隱藏 
17.8.2 在內(nèi)存轉(zhuǎn)儲(chǔ)中檢測分離線程 
17.9 識(shí)別系統(tǒng)范圍的通知例程 
17.9.1 找出檢查的位置 
17.9.2 使用notifyroutines插件 
17.10 使用svscan定位惡意的服務(wù)進(jìn)程 
17.10.1 惡意軟件如何濫用服務(wù) 
17.10.2 scm的服務(wù)記錄結(jié)構(gòu) 
17.10.3 枚舉進(jìn)程內(nèi)存中的服務(wù) 
17.10.4 blazgel木馬的例子 
17.10.5 使用volatility的svcscan插件 
17.11 使用mutantscan掃描互斥體對象 
第18章 內(nèi)存取證：網(wǎng)絡(luò)和注冊表 
18.1 探索套接字和連接對象 
18.1.1 套接字和連接證據(jù) 
18.1.2 套接字和連接對象 
18.2 分析zeus留下的網(wǎng)絡(luò)證據(jù) 
18.3 檢測企圖隱藏tcp/ip的活動(dòng) 
18.3.1 掃描套接字和連接對象 
18.3.2 其他項(xiàng)目 
18.4 檢測原始套接字和混雜模式的網(wǎng)絡(luò)接口 
18.4.1 混雜模式的套接字 
18.4.2 檢測混雜模式 
18.5 注冊表分析 
18.5.1 使用內(nèi)存注冊表工具分析注冊表證據(jù) 
18.5.2 通過最后寫入時(shí)間戳排序注冊表項(xiàng) 
18.5.3 使用volatility和reg-ripper