利用Python開源工具分析惡意代碼

1　開源軟件與Python環(huán)境 1
1．1　關(guān)于開源軟件 2
如果管理人員熟悉開源軟件 2
1．2　Python簡介 3
1．3　搭建Python環(huán)境與程序發(fā)布 3
1．3．1　在Windows下搭建Python環(huán)境 3
1．3．2　使用Eclipse與PyDev搭建Python開發(fā)環(huán)境 7
1．3．3　使用pyinstaller發(fā)布程序 12
1．4　從Github站點下載開源工具 15
1．5　安裝Python模塊 17
1．6　小結(jié) 19
2　通過peframe學(xué)習(xí)PE文件結(jié)構(gòu) 20
2．1　PE文件結(jié)構(gòu) 21
2．1．1　DOS Header結(jié)構(gòu)體 23
2．1．2　DOS Stub Program 26
2．1．3　IMAGE_NT_HEADER結(jié)構(gòu)體 26
2．2　分析peframe工具 28
2．2．1　IMPORT模塊 29
2．2．2　預(yù)處理部分 30
2．2．3　分析main函數(shù) 35
2．2．4　peframe中的函數(shù) 40
2．3　惡意代碼的特征因子 136
2．3．1　殺毒結(jié)果 136
2．3．2　散列值 137
2．3．3　加殼器 138
2．3．4　節(jié)區(qū)名與熵 139
2．3．5　API 141
2．3．6　字符串 143
2．3．7　PE元數(shù)據(jù) 144
2．4　小結(jié) 145
3　惡意代碼分析服務(wù) 146
3．1　惡意代碼分析環(huán)境 147
3．1．1　自動分析服務(wù)種類 147
3．1．2　惡意代碼分析Live CD介紹 148
3．1．3　收集惡意代碼 151
3．2　線上分析服務(wù) 166
3．2．1　VirusTotal服務(wù) 166
3．2．2　應(yīng)用VirusTotal服務(wù)API 173
3．2．3　使用URLquery查看感染惡意代碼的網(wǎng)站 188
3．2．4　使用hybrid-analysis分析惡意代碼 190
3．3　小結(jié) 192
4　使用Cuckoo Sandbox 193
4．1　Cuckoo Sandbox定義 195
4．2　Cuckoo Sandbox特征 196
4．3　安裝Cuckoo Sandbox 197
4．3．1　安裝Ubuntu 14．04 LTS 199
4．3．2　安裝VMware Tools 203
4．3．3　鏡像站點 205
4．3．4　安裝輔助包與庫 206
4．3．5　安裝必需包與庫 207
4．3．6　設(shè)置tcpdump 213
4．4　安裝沙箱 214
4．4．1　安裝沙箱 214
4．4．2　安裝增強功能 218
4．4．3　安裝Python與Python-PIL 219
4．4．4　關(guān)閉防火墻與自動更新 220
4．4．5　網(wǎng)絡(luò)設(shè)置 221
4．4．6　設(shè)置附加環(huán)境 223
4．4．7　安裝Agent．py 224
4．4．8　生成虛擬機備份 228
4．4．9　通過復(fù)制添加沙箱 229
4．5　設(shè)置Cuckoo Sandbox 232
4．5．1　設(shè)置cuckoo．conf 232
4．5．2　設(shè)置processing．conf 236
4．5．3　設(shè)置reporting．conf 238
4．5．4　設(shè)置virtualbox．conf 239
4．5．5　設(shè)置auxiliary．conf 242
4．5．6　設(shè)置memory．conf 243
4．6　運行Cuckoo Sandbox引擎 247
4．6．1　Community．py 248
4．6．2　使用最新Web界面 250
4．6．3　上傳分析文件 252
4．6．4　調(diào)試模式 255
4．6．5　使用經(jīng)典Web界面 256
4．7　Cuckoo Sandbox報告 257
4．7．1　JSONdump報告 257
4．7．2　HTML報告 258
4．7．3　MMDef報告 259
4．7．4　MAEC報告 260
4．8　Api．py分析 262
4．8．1　POST-/tasks/create/file 263
4．8．2　POST-/tasks/create/url 264
4．8．3　GET- /tasks/list 264
4．8．4　GET-/tasks/view 266
4．8．5　GET- /tasks/delete 267
4．8．6　GET-/tasks/report 267
4．8．7　GET-/tasks/screenshots 269
4．8．8　GET-/files/view 269
4．8．9　GET-/files/get 270
4．8．10　GET-/pcap/get 270
4．8．11　GET-/machine/list 270
4．8．12　GET-/machines/view 272
4．8．13　GET-/cuckoo/status 272
4．9　Cuckoo Sandbox實用工具 273
4．9．1　clean．sh 273
4．9．2　process．py 274
4．9．3　stats．py 274
4．9．4　submit．py 275
4．10　分析結(jié)果 275
4．10．1　Quick Overview 276
4．10．2　Static Analysis 279
4．10．3　Behavioral Analysis 280
4．10．4　Network Analysis 281
4．10．5　Dropped Files 282
4．11　使用Volatility的內(nèi)存分析結(jié)果 282
4．11．1　Process List 283
4．11．2　Services 284
4．11．3　Kernel Modules 285
4．11．4　Device Tree 285
4．11．5　Code Injection 286
4．11．6　Timers 286
4．11．7　Messagehooks 287
4．11．8　API Hooks 287
4．11．9　Callbacks 288
4．11．10　Yarascan 288
4．11．11　SSDT 288
4．11．12　IDT 289
4．11．13　GDT 289
4．12　Admin功能 290
4．13　比較功能 290
4．14　小結(jié) 292
5　惡意代碼詳細分析 293
5．1　查看Cuckoo Sandbox分析結(jié)果 294
5．2　線上分析報告 295
5．3　手動詳細分析 296
5．4　小結(jié) 323
6　其他分析工具 324
6．1　使用viper分析與管理二進制文件 325
6．1．1　安裝viper 325
6．1．2　使用viper 326
6．1．3　viper命令 327
6．1．4　模塊 337
6．2　使用ClamAV對惡意代碼分類 354
6．3　使用pyew管理與分析惡意代碼 363
6．3．1　查看幫助 365
6．3．2　查看導(dǎo)入表 368
6．3．3　在VirusTotal中檢測文件 370
6．3．4　查看URL信息 371
6．3．5　檢測PDF文件 373
6．4　使用pescanner檢測惡意代碼 379
6．4．1　使用Yara簽名進行檢測 381
6．4．2　檢測可疑API函數(shù) 383
6．4．3　查看熵值 385
6．5　使用PEStudio分析可疑文件 385
6．6　分析網(wǎng)絡(luò)包 388
6．6．1　使用captipper分析網(wǎng)絡(luò)包 388
6．6．2　使用pcap-analyzer分析網(wǎng)絡(luò)包 390
6．6．3　使用net-creds獲取重要信息 393
6．7　使用各種開源工具分析惡意代碼文件 395
6．8　使用Docker容器 402
6．8．1　Docker定義 402
6．8．2　關(guān)于Docker Hub 403
6．8．3　使用REMnux Docker鏡像 405
6．9　小結(jié) 408
7　利用內(nèi)存分析應(yīng)對入侵事故 409
7．1　Volatility簡介與環(huán)境搭建 410
參考社區(qū)（維基頁面） 415
7．2　使用Volatility分析惡意代碼 416
7．3　開源工具：TotalRecall 424
7．4　使用Redline分析內(nèi)存 433
7．5　Volatility插件使用與推薦 441
7．6　使用Rekall進行內(nèi)存取證分析 445
7．7　使用VolDiff比較內(nèi)存分析結(jié)果 462
7．8　使用DAMM比較內(nèi)存分析結(jié)果 471
7．9　惡意代碼內(nèi)存分析示例 474
7．10　通過攻擊模擬了解內(nèi)存轉(zhuǎn)儲用法 477
7．11　小結(jié) 482