Обзор инструментов для анализа вредоносных программ

Обзор инструментов для анализа вредоносных программ

Зачастую, когда вы впервые сталкиваетесь с вредоносной программой, вам хочется понять, как это все работает, какие действия она выполняет, как попадает на компьютер и так далее. Рассмотрим, как создать виртуальную среду для тестирования и отладки вредоносного файла, что поможет нам понять, как он распространяется, какие действия он выполняет на зараженном компьютере, какие сетевые коммуникации он реализует.

 

 

 

  1. Введение
  2. Лаборатория
  3. Инструменты
  4. ProcDOT
  5. Process Monitor v3.40
  6. Выводы

 

Введение

Для анализа вредоносных программ существует целый ряд бесплатных инструментов с открытым исходным кодом. Мы опишем загрузку и установку некоторых из этих инструментов, чтобы понять, как они работают.

 

Лаборатория

В целом, есть два пути создания лаборатории для тестирования вредоносных программ: можно использовать программное обеспечение для виртуализации, например VirtualBox или VMware, или же использовать старые, но все еще работающие компьютеры, которые, скажем, завалялись у вас дома.

В случае с виртуальной средой, после намеренного заражения ее вредоносными программами всегда можно будет вернуть ее в исходное состояние. Если же вы выбираете второй вариант, будьте крайне внимательны и убедитесь, что ваша лаборатория изолирована от рабочей сети, чтобы предотвратить нежелательное распространение вредоносных программ.

Посмотрим, какие инструменты могут вам помочь в этом вопросе.

 

Инструменты

Возможно, вы будете удивлены, но для анализа вредоносных программ существует множество инструментов, многие из которых доступны бесплатно. Разложим типы инструментов, которые нам понадобятся, по пунктам:

  1. Программа для мониторинга процессов, похожая на диспетчер задач Windows, однако она располагает гораздо большими возможностями.
  2. Сетевой анализатор, подобный wirehark, чтобы изучить способ подключения вредоноса к его автору.
  3. Анализатор кода. Как правило, очень сложно деобфусцировать вредоносный код, но если это удастся сделать, у вас будет много информации.
  4. Бесплатный онлайн-анализатор вредоносных программ, такой, как перечислены здесь, чтобы автоматизировать эти действия.

Попробуем углубиться в изучение пары интересных инструментов.

 

ProcDOT

ProcDOT уникален в своем жанре. Фактически он объединяет две основные функции: мониторинг процессов и анализатор сети. Обычно эти два инструмента разделены, что значительно усложняет понимание того, как вредоносный процесс делится информацией.

 

Рисунок 1. Схема работы ProcDOT

 Схема работы ProcDOT

 

ProcDOT решает эту проблему как инструмент «все-в-одном», поэтому его наличие в вашей лаборатории будем считать обязательным. Функциями ProcDOT являются:

  • Корреляция данных Procmon и PCAP
  • Представление в виде интерактивного графика
  • Режим анимации для легкого понимания аспектов тайминга
  • Умные алгоритмы для фокуса на релевантной информации
  • Обнаружение и визуальное представление вредоносных инъекций (thread injection)
  • Корреляция сетевых действий и процессов
  • Временная шкала активности
  • Полнотекстовый поиск содержимого графика, также отображается в строке временной шкалы активности
  • Фильтры для очистки ненужной информации (глобальные и сеансовые)
  • Поддержка различных режимов согласования

Чтобы загрузить ProcDOT, воспользуйтесь следующими ссылками: для Linux, для Windows.

 

Process Monitor v3.40

Process Monitor v3.40, как вы можете догадаться по его названию, ориентирован только на мониторинг процессов. Он предназначен для работы исключительно с Windows и представляет собой расширенный диспетчер задач, способный выполнять проверку работоспособности в реальном времени, а также фиксирующий детали процесса включая пользователя, идентификатор сеанса, командную строку и тому подобное.

 

Рисунок 2. Рабочее окно Process Monitor

 Рабочее окно Process Monitor

 

Process Monitor v3.40 также позволяет регистрировать время загрузки для всех операций, он сочетает в себе функции двух программ sysinternal, которые в данный момент не поддерживаются, — Filemon и Regmon. Filemon предоставляет полезную информацию об активности системы, а Regmon подробно показывает использование реестра Windows.

Все эти функции делают Process Monitor v3.40 полезным инструментом, используемым для системного администрирования, компьютерной криминалистики и отладки приложений. Более того, он тоже полностью бесплатен.

 

Выводы

Все, о чем мы поговорили выше, поможет вам начать самостоятельно анализировать вредоносные программы. Теперь, когда есть базовые знания, вы можете пробовать приступать к анализу, постепенно наращивая их. Скачивайте программы, определяйтесь с типом своей лаборатории и дерзайте!

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru