|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
||
Значение PE-заголовка
Глава 1. Основные статические методики
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
w49 |
to |
|
|
|
|
|
||||
w Click |
|
|
|
|
|
|
||||
|
|
|
|
|
o |
m |
||||
|
w |
|
|
|
|
|
|
|
|
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
||
PE-заголовок содержит полезную для анализа вредоносов информацию, поэтому мы продолжим его исследование в последующих главах. В табл. 1.7 собраны ключевые сведения, которые можно получить из PE-заголовка.
Таблица 1.7. Информация в PE-заголовке
Поле |
Информация, которую можно обнаружить |
|
|
Импорт |
Функции из других библиотек, используемые вредоносом |
|
|
Экспорт |
Функции вредоноса, предназначенные для вызова другими программа- |
|
ми или библиотеками |
|
|
Временная отметка |
Дата компиляции программы |
|
|
Разделы |
Названия разделов файла и их размеры на диске и в памяти |
|
|
Подсистема |
Тип программы: консольная или графическая |
|
|
Ресурсы |
Строки, значки, меню и другие данные, включенные в файл |
|
|
Итоги главы
С помощью набора относительно простых инструментов мы можем выполнить статический анализ вредоносного ПО и частично понять, как оно работает. Однако статический анализ обычно является лишь первым шагом, останавливаться на котором не следует. Дальше необходимо подготовить безопасную среду для запуска вредоноса и выполнения динамического анализа. Об этом пойдет речь в следующих двух главах.
Лабораторные работы
Лабораторные работы дают вам возможность применить на практике знания, полученные в этой главе. Чтобы симуляция анализа вредоноса была правдоподобной, вам будет предоставлено (если вообще будет) крайне мало информации об исследуемой программе. Файлы этих и всех остальных лабораторных работ будут иметь малоинформативные имена, как это обычно случается с вредоносными программами.
Каждая лабораторная работа содержит зловредный файл, несколько вопросов, краткие ответы на них и подробный анализ вредоноса. Решения приводятся в приложении В.
Ответы в лабораторных работах разделены на две группы: краткие и подробные. Первую группу следует использовать для самопроверки, если вы сумели найти решение самостоятельно. Вторая группа поможет вам при изучении готовых решений: в ней мы объясняем, как пришли к каждому отдельному ответу на каждый вопрос лабораторной работы.
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
w |
|
|
to |
|
|
50 Часть I • Базовый анализ |
||||
w Click |
|
|
|
|
|
|
||||
|
|
|
|
|
o |
m |
||||
|
w |
|
|
|
|
|
|
|
|
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
||
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
||
Лабораторная работа 1.1
В этой лабораторной работе рассматриваются файлы Lab01-01.exe и Lab0101.dll. Используйте инструменты и методики, описанные в данной главе, чтобы получить информацию об этих файлах и ответить на следующие вопросы.
Вопросы
1.Загрузите файлы на сайт www.VirusTotal.com и просмотрите отчет. Соответствует ли каждый из них имеющимся антивирусным сигнатурам?
2.Когда эти файлы были скомпилированы?
3.Есть ли признаки того, что какой-то из этих файлов запакован или обфусцирован? Если да, то что это за признаки?
4.Выдают ли какие-либо импорты функций назначение вредоноса? Если да, то что это за функции?
5.Присутствуют ли в системе другие файлы или локальные признаки, которые вы могли бы исследовать?
6.С помощью каких сетевых признаков можно обнаружить данную вредоносную программу в зараженной системе?
7.Как вы думаете, каково назначение этих файлов?
Лабораторная работа 1.2
Проанализируйте файл Lab01-02.exe.
Вопросы
1.Загрузите файл Lab01-02.exe на сайт www.VirusTotal.com. Соответствует ли он какой-то из имеющихся антивирусных сигнатур?
2.Есть ли какие-либо признаки того, что файл упакован или обфусцирован? Если да, то что это за признаки? Если файл упакован, попробуйте его распаковать.
3.Выдают ли какие-либо импорты функций назначение программы? Если да, то что это за функции и о чем они вам говорят?
4.С помощью каких локальных или сетевых признаков можно было бы об-
наружить этот вредонос на зараженных компьютерах?
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
||
Глава 1. Основные статические методики
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
w51 |
to |
|
|
|
|
|
||||
w Click |
|
|
|
|
|
|
||||
|
|
|
|
|
o |
m |
||||
|
w |
|
|
|
|
|
|
|
|
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
||
Лабораторная работа 1.3
Проанализируйте файл Lab01-03.exe.
Вопросы
1.Загрузите файл Lab01-03.exe на сайт www.VirusTotal.com. Соответствует ли он какой-то из имеющихся антивирусных сигнатур?
2.Есть ли какие-либо признаки того, что файл упакован или обфусцирован? Если да, то что это за признаки? Если файл упакован, попробуйте его распаковать.
3.Выдают ли какие-либо импорты функций назначение программы? Если да, то что это за функции и о чем они вам говорят?
4.С помощью каких локальных или сетевых признаков можно было бы идентифицировать данное вредоносное ПО на зараженных компьютерах?
Лабораторная работа 1.4
Проанализируйте файл Lab01-04.exe.
Вопросы
1.Загрузите файл Lab01-04.exe на сайт www.VirusTotal.com. Соответствует ли он какой-то из имеющихся антивирусных сигнатур?
2.Есть ли какие-либо признаки того, что файл упакован или обфусцирован? Если да, то что это за признаки? Если файл упакован, попробуйте его распаковать.
3.Когда была скомпилирована эта программа?
4.Выдают ли какие-либо импорты функций назначение программы? Если да, то что это за функции и о чем они вам говорят?
5.С помощью каких локальных или сетевых признаков можно было бы обнаружить эту программу на зараженных компьютерах?
6.Этот файл имеет один ресурс в разделе ресурсов. Изучите и извлеките его с помощью утилиты Resource Hacker. Какие сведения вы можете почерп-
нуть из этого ресурса?