本帖最后由 Hacker29cn 于 2011-6-2 00:39 编辑
掌握证据,揪出元凶——跟我学习CIMA,让更多人了解病毒的行为(之一) 其实早就想写点关于CIMA的东西了,一来是苦于没有时间,二来也是由于自己的水平有限,一知半解,不好班门弄斧,直到今天,觉得自己已经钻研的差不多了,才敢出来献丑,还望大家见谅! 一、什么是CIMA? 其实CIMA并不是什么稀罕物,已经进行过升级改版,新版的CIMA更人性化,更加简便易用: CIMA是Comodo Instant Malware Analysis的简写,也有称作CAMAS(COMODO Automated Malware Analysis System)的,大致意思相同,翻译过来就是科摩多实时恶意软件分析系统,这一系统是自动的,无需人工干预,所以又称为COMODO Automated Analysis System(科摩多自动分析系统)。有的人认为是HIPS在线沙盘,我认为并不是那么简单,应该是云安全+HIPS+恶意行为库+虚拟机的综合体,所以就发在了国外杀软大区,希望能够帮助大家掌握有关病毒行为分析的技巧,早日揭开病毒的伪装! 二、CIMA有什么用? 好的,现在我们就来看看CIMA的真面目(以新版为例,老版是2008年推出的,不够人性化),这个比较简单,在地址栏中输入http://camas.comodo.com/就可以了 这是界面
这是上传待分析文件的情景,按图操作即可
提交途中会显示信息,大约5秒刷新一次
注意:上传的必须是可执行文件(*.EXE)文件,否则无法分析其行为
上传过程视文件大小和网速而定,大的文件会很慢,小的文件瞬间就会好。由于分析的可疑代码文件一般不会太大(太大的还是用其它方法吧,否则会很慢),所以还是很方便的。
三、读懂报告,揪出元凶 上传文件并不是目的,我们本来的目的是分析该文件的行为,进而判断是不是恶意软件,如果是,那么到底它做了哪些恶,好为其定罪,也好在恢复系统时知道如何恢复。 这是一份报告(正常文件,图内有详解)
1、简介各个词汇 (1)MD5、SHA1:文件指纹系统,具有唯一性,可直接确定一个文件的身份,就像我们的身份证 (2)键(Key)和键值(Value) 详述定义很难,但是我可以让大家有个形象的认识,键,就是容器,键值就是容器内的物品。打个比方一瓶香油,香油瓶就是键,而香油就是键值。这本来是注册表的两个专有名词,下面这幅图能帮助你理解
好的,打开了注册表,你就相当于看到了windows的心脏,这里包含了所有的软硬件信息!你能打开,病毒也能打开,病毒只要修改其中任何一个正常值,那么windows就可能会瘫痪。比如删除INTEL的键,你会发现所有有关INTEL的硬件就会“完蛋”了——无线网卡集成显卡统统“歇菜”了(当然前提是它们是Intel生产的)。 (3)文件路径和文件 这个比较简单你可以看一下C:\Windows\System32,这就是文件路径(形象些,文件夹),而文件夹下的东西单个的带扩展名的就叫文件,比如我的文档\我要吻你.doc中的“我要吻你.doc”就是文件,形象的画幅图,如下
再打个形象的比方,你去你姥姥家,要走102国道,那么102国道就是路径,姥姥家就是文件,这个够通俗了吧,O(∩_∩)O哈哈~(注:本文在于普及知识,实际原理并非如此,我只是便于大家理解,非专业知识讲解,大家要想知道的具体请查阅相关资料!)
(4)进程(线程)(Threates) 什么是线程或者进程? 说白了,就是界面下的真实运行的程序,比如此时我正在用WPS编辑文档(我看到的只是界面),那么在内存中实际运行的就是WPS.EXE这个程序,实际上我的操作都是WPS.EXE帮我完成的。那么内存中运行的WPS.EXE就是进程。你可以通过windows任务管理器查看可见进程,如下图
打个比方,你和一个心仪的美女(帅哥)接吻,你看到的是美丽(帅气)的异性——这就是界面,而要完成接吻这个行为,就必须有骨骼、肌肉组织和爱慕(心理)等,帮助你们完成接吻的行为,而这些肉体和灵魂方面的内容就是——进程。 乃们可能会问,为什么只能看到可见进程?那时因为大多数病毒的进程都是隐藏的,它们要自我保护起来,因为既然可以看到就可以结束(Kill),一旦被KILL了,病毒还运行啥,直接到阎王爷那儿报道了,还怎么盗号? 好了,这一节就先讲到这里,未完待续…… 请期待后文NEXT:
报告的详细分析 病毒为设么叫病毒 病毒行为大曝光 我也来揪毒,实战病毒行为分析 敬请期待……
| 
[复制链接]
发表于 2011-4-24 01:27:11
楼主
发表于 2011-4-24 07:19:13
怎么能让大部分人懂
