惡意軟件分析訣竅與工具箱：對抗流氓軟件的技術與利器

《惡意軟件分析訣竅與工具箱——對抗“流氓”軟件的技術與利器》
第1章 行為隱匿 
1.1 洋蔥路由器(tor) 
1.2 使用tor研究惡意軟件 
1.3 tor缺陷 
1.3.1 速度 
1.3.2 不可信賴的tor操作員 
1.3.3 tor阻止列表 
1.4 代理服務器和協(xié)議 
1.4.1 超文本傳輸協(xié)議(http) 
1.4.2 socks4 
1.4.3 socks5 
1.5 基于web的匿名代理 
1.6 保持匿名的替代方法 
1.6.1 蜂窩internet連接 
1.6.2 虛擬專用網 
1.7 唯一且匿名 
第2章 蜜罐 
2.1 nepenthes蜜罐 
2.1.1 利用nepenthes收集惡意軟件樣本 
2.1.2 使用irc日志進行實時攻擊監(jiān)視 
2.1.3 使用基于python的 http接收nepenthes提交的文件 
2.2 使用dionaea蜜罐 
2.2.1 使用dionaea收集惡意軟件樣本 
2.2.2 使用基于python的http接收dionaea提交的文件 
2.2.3 實時事件通告以及使用xmpp共享二進制文件 
2.2.4 分析重放dionea記錄的攻擊 
2.2.5 使用p0f工具被動識別遠程主機操作系統(tǒng) 
2.2.6 使用sqlite 和gnuplot繪制dionaea記錄的攻擊模式圖 
第3章 惡意軟件分類 
3.1 使用clamav分類 
3.1.1 檢查現有clamav特征碼 
3.1.2 創(chuàng)建自定義clamav特征碼數據庫 
3.2 使用yara分類 
3.2.1 將clamav特征碼轉換到y(tǒng)ara格式特征碼 
3.2.2 使用yara和peid識別加殼文件 
3.2.3 使用yara檢測惡意軟件的能力 
3.3 工具集成 
3.3.1 使用python識別文件類型及哈希算法 
3.3.2 編寫python多殺毒掃描軟件 
3.3.3 python中檢測惡意pe文件 
3.3.4 使用ssdeep查找相似惡意軟件 
3.3.5 使用ssdeep檢測自修改代碼 
3.3.6 使用ida和bindiff檢測自修改代碼 
第4章 沙箱和多殺毒掃描軟件 
4.1 公用殺毒掃描軟件 
4.1.1 使用virus total掃描文件 
4.1.2 使用jotti掃描文件 
4.1.3 使用novirusthanks掃描文件 
4.1.4 啟用數據庫的python多殺毒上傳程序 
4.2 多殺毒掃描軟件的比較 
4.3 公用沙箱分析 
4.3.1 使用threatexpert分析惡意軟件 
4.3.2 使用cwsandbox分析惡意軟件 
4.3.3 使用anubis分析惡意軟件 
4.3.4 編寫joebox autoit腳本 
4.3.5 使用joebox應對路徑依賴型惡意軟件 
4.3.6 使用joebox應對進程依賴型動態(tài)鏈接庫 
4.3.7 使用joebox設置主動型http代理 
4.3.8 使用沙箱結果掃描項目 
第5章 域名與ip地址 
5.1 研究可疑域名 
5.1.1 利用whois研究域 
5.1.2 解析dns主機名 
5.2 研究ip地址 
5.3 使用被動dns和其他工具進行研究 
5.3.1 使用bfk查詢被動dns 
5.3.2 使用robtex檢查dns記錄 
5.3.3 使用domaintools執(zhí)行反向ip搜索 
5.3.4 使用dig啟動區(qū)域傳送 
5.3.5 使用dnsmap暴力攻擊子域 
5.3.6 通過shadowserver將ip地址映射到asn 
5.3.7 使用rbl檢查ip信譽 
5.4 fast flux域名 
5.4.1 使用被動dns和ttl檢測fast flux網絡 
5.4.2 跟蹤fast flux域名 
5.5 ip地址地理映射 
第6章 文檔、shellcode和url 
6.1 分析javascript 
6.1.1 使用spidermonkey分析javascript 
6.1.2 使用jsunpack自動解碼javascript 
6.1.3 優(yōu)化jsunpack-n的解碼速度和完整性 
6.1.4 通過模擬瀏覽器dom元素觸發(fā)漏洞利用 
6.2 分析pdf文檔 
6.2.1 使用pdf.py從pdf文件中提取javascript 
6.2.2 偽造pdf軟件版本觸發(fā)漏洞利用 
6.2.3 利用didier stevens的pdf工具集 
6.2.4 確定利用pdf文件中的哪些漏洞 
6.2.5 使用distorm反匯編shellcode 
6.2.6 使用iibemu模擬shellcode 
6.3 分析惡意office文檔 
6.3.1 使用officemalscanner分析microsoft office文件 
6.3.2 使用disview和malhost-setup調試office shellcode 
6.4 分析網絡流量 
6.4.1 使用jsunpack從報文捕獲文件中提取http文件 
6.4.2 使用jsunpack繪制url關系圖 
第7章 惡意軟件實驗室 
7.1 網絡互聯(lián) 
7.1.1 實驗室中tcp/ip路由連接 
7.1.2 捕獲、分析網絡流量 
7.1.3 使用inetsim模擬internet 
7.1.4 使用burp套件操作http/https 
7.2 物理目標機 
7.2.1 使用joe stewart開發(fā)的truman 
7.2.2 使用deep freeze保護物理系統(tǒng) 
7.2.3 使用fog克隆和映像磁盤 
7.2.4 使用mysql數據庫自動調度fog任務 
第8章 自動化操作 
8.1 惡意軟件分析周期 
8.2 使用python實現自動化操作 
8.2.1 使用virtualbox執(zhí)行自動化惡意軟件分析 
8.2.2 分析virtualbox磁盤以及內存映像 
8.2.3 使用vmware執(zhí)行自動化惡意軟件分析 
8.3 添加分析模塊 
8.3.1 在python中使用tshark捕獲報文 
8.3.2 在python中使用inetsim收集網絡日志 
8.3.3 使用volatility分析內存轉儲 
8.3.4 組合所有的沙箱塊 
8.4 雜項系統(tǒng) 
8.4.1 使用zerowine和qemu執(zhí)行自動化分析 
8.4.2 使用sandboxie和buster執(zhí)行自動化分析 
第9章 動態(tài)分析 
9.1 變化檢測 
9.1.1 使用process monitor記錄api調用 
9.1.2 使用regshot進行變化檢測 
9.1.3 接收文件系統(tǒng)變化通知 
9.1.4 接收注冊表變化通知 
9.1.5 句柄表的差異比較 
9.1.6 使用handlediff研究代碼注入 
9.1.7 觀察bankpatch.c禁用windows文件保護的活動 
9.2 api監(jiān)視/鉤子 
9.2.1 使用microsoft detours構建api監(jiān)視器 
9.2.2 使用api監(jiān)視器追蹤子進程 
9.2.3 捕獲進程、線程和映像加載事件 
9.3 數據保護 
9.3.1 阻止進程終止 
9.3.2 阻止惡意軟件刪除文件 
9.3.3 阻止加載驅動程序 
9.3.4 使用數據保護模塊 
9.3.5 使用reactos創(chuàng)建定制命令shell 
第10章 惡意軟件取證 
10.1 the sleuth kit(tsk) 
10.1.1 使用tsk發(fā)現備用數據流 
10.1.2 使用tsk檢測隱藏文件和目錄 
10.1.3 使用microsoft脫機api查找隱藏注冊表數據 
10.2 取證/事件響應混合 
10.2.1 繞開poison ivy鎖定的文件 
10.2.2 繞開conficker文件系統(tǒng)的acl限制 
10.2.3 使用gmer掃描rootkit 
10.2.4 通過檢查ie的dom檢測html注入 
10.3 注冊表分析 
10.3.1 使用regripper插件對注冊表取證 
10.3.2 檢測惡意安裝的pki證書 
10.3.3 檢查泄露數據到注冊表的惡意軟件 
第11章 調試惡意軟件 
11.1 使用調試器 
11.1.1 打開和附加到進程 
11.1.2 為shellcode分析配置jit調試器 
11.1.3 熟悉調試器的圖形用戶界面 
11.1.4 檢查進程內存和資源 
11.1.5 控制程序執(zhí)行 
11.1.6 設置和捕獲斷點 
11.1.7 使用有條件的日志記錄斷點 
11.2 immunity debugger的python api接口 
11.2.1 使用python腳本和pycommand調試 
11.2.2 在二進制文件中檢測shellcode 
11.2.3 調查silentbanker木馬的api鉤子 
11.3 winappdbg python調試器 
11.3.1 使用winappdbg工具操作進程內存 
11.3.2 使用winappdbg工具設計一個python api監(jiān)視器 
第12章 反混淆 
12.1 解碼常見算法 
12.1.1 python中的逆向xor算法 
12.1.2 使用yaratize檢測xor編碼的數據 
12.1.3 使用特殊字母解碼base64 
12.2 解密 
12.2.1 從捕獲的數據包中隔離加密數據 
12.2.2 使用snd反向工具、findcrypt和kanal搜索加密機制 
12.2.3 使用zynamics bindiff移植open ssl的符號 
12.2.4 在python中使用pycrypto解密數據 
12.3 惡意軟件脫殼 
12.3.1 查找加殼惡意軟件的oep 
12.3.2 使用lordpe轉儲進程內存 
12.3.3 使用imprec重建導入表 
12.4 與脫殼有關的資源 
12.5 調試器腳本 
12.5.1 破解域名生成算法 
12.5.2 使用x86emu和python解碼字符串 
第13章 處理dll 
13.1 枚舉dll的導出函數 
13.1.1 cff explorer 
13.1.2 pefile 
13.1.3 ida pro 
13.1.4 常見和不常見的導出名 
13.2 使用rundll32.exe執(zhí)行dll 
13.3 繞過宿主進程的限制 
13.4 使用rundll32ex遠程調用dll導出函數 
13.4.1 創(chuàng)建新工具的原因 
13.4.2 使用rundll32ex 
13.5 使用loaddll.exe調試dll 
13.5.1 將dll加載到調試器中 
13.5.2 找到dll的入口點 
13.6 捕獲dll入口點處的斷點 
13.7 執(zhí)行作為windows服務的dll 
13.7.1 服務dll的入口點 
13.7.2 服務初始化 
13.7.3 安裝服務dll 
13.7.4 傳遞參數給服務 
13.8 將dll轉換成獨立的可執(zhí)行文件 
第14章 內核調試 
14.1 遠程內核調試 
14.2 本地內核調試 
14.3 軟件需求 
14.3.1 使用livekd進行本地調試 
14.3.2 啟用內核調試啟動開關 
14.3.3 調試vmware工作站客戶機(在windows系統(tǒng)中) 
14.3.4 調試parallels客戶機(在mac os x上) 
14.3.5 windbg命令和控制簡介 
14.3.6 探索進程和進程上下文 
14.3.7 探索內核內存 
14.3.8 在驅動程序加載時捕捉斷點 
14.3.9 脫殼驅動程序 
14.3.10 轉儲和重建驅動程序 
14.3.11 使用windbg腳本檢測rootkit 
14.3.12 使用ida pro進行內核調試 
第15章 使用volatility進行內存取證 
15.1 內存獲取 
15.1.1 使用moonsols windows內存工具箱轉儲內存 
15.1.2 使用f-response獲取遠程、只讀內存 
15.1.3 訪問虛擬機的內存文件 
15.2 準備安裝volatility 
15.2.1 volatility概覽 
15.2.2 在內存轉儲中研究進程 
15.2.3 使用psscan檢測dkom攻擊 
15.2.4 研究csrss.exe的備用進程列表 
15.2.5 識別進程上下文的技巧 
第16章 內存取證：代碼注入與提取 
16.1 深入研究dll 
16.1.1 搜尋已加載的可疑dll 
16.1.2 使用ldr_modules檢測未鏈接的dll 
16.2 代碼注入和vad 
16.2.1 研究vad 
16.2.2 轉換頁面保護 
16.2.3 在進程內存中搜索證據 
16.2.4 使用malfind和yara識別注入代碼 
16.3 重建二進制文件 
16.3.1 從內存中重建可執(zhí)行文件的映像 
16.3.2 使用impscan掃描導入函數 
16.3.3 轉儲可疑的內核模塊 
第17章 內存取證：rootkit 
17.1 檢測iat鉤子 
17.2 檢測eat鉤子 
17.3 檢測內聯(lián)api鉤子 
17.4 檢測idt鉤子 
17.5 檢測驅動程序的irp鉤子 
17.6 檢測ssdt鉤子 
17.6.1 ssdt的角色 
17.6.2 鉤子和鉤子檢測 
17.7 使用ssdt_ex自動研究 
17.8 根據附加的內核線程搜索rootkit 
17.8.1 使用線程在內核中隱藏 
17.8.2 在內存轉儲中檢測分離線程 
17.9 識別系統(tǒng)范圍的通知例程 
17.9.1 找出檢查的位置 
17.9.2 使用notifyroutines插件 
17.10 使用svscan定位惡意的服務進程 
17.10.1 惡意軟件如何濫用服務 
17.10.2 scm的服務記錄結構 
17.10.3 枚舉進程內存中的服務 
17.10.4 blazgel木馬的例子 
17.10.5 使用volatility的svcscan插件 
17.11 使用mutantscan掃描互斥體對象 
第18章 內存取證：網絡和注冊表 
18.1 探索套接字和連接對象 
18.1.1 套接字和連接證據 
18.1.2 套接字和連接對象 
18.2 分析zeus留下的網絡證據 
18.3 檢測企圖隱藏tcp/ip的活動 
18.3.1 掃描套接字和連接對象 
18.3.2 其他項目 
18.4 檢測原始套接字和混雜模式的網絡接口 
18.4.1 混雜模式的套接字 
18.4.2 檢測混雜模式 
18.5 注冊表分析 
18.5.1 使用內存注冊表工具分析注冊表證據 
18.5.2 通過最后寫入時間戳排序注冊表項 
18.5.3 使用volatility和reg-ripper