Linux系统恶意软件分析全攻略
自动化恶意软件分析框架
自动化行为分析过程是高效分类和处理恶意代码样本,快速获取样本情报的有效解决方案。近年来,不少研究人员开发了自动化恶意软件分析框架,它们将众多流程和工具结合并自动化,以集体监测和报告目标恶意代码样本的运行时行为。这些分析框架为处理可疑程序提供了有效且高效的手段,能快速获取有关样本的可操作情报。不过,目前还没有能处理ELF文件的自动化恶意软件分析框架,但在文件分析过程中,当需要在了解样本的文件类型、目标操作系统、性质和用途之前对可疑文件进行分类时,这些工具可能会很有用。
在线恶意软件分析沙箱
将恶意软件样本提交到在线恶意软件分析沙箱,是快速获取可疑程序行为分析概述或用作相关调查工具的有效方法。虽然目前没有能处理Linux ELF文件的在线恶意软件分析沙箱,但这些服务仍可作为预分析分类平台,用于识别文件类型和感兴趣的文件。这些服务与特定供应商的恶意软件样本提交网站或在线病毒扫描器(如VirusTotal、Jotti Online Malware Scanner和VirScan)不同。
在线恶意软件扫描器在模拟互联网或“沙箱”网络中执行和处理恶意软件,通常会为提交方提供一份详细报告,说明在沙箱系统和网络中捕获的系统和网络活动。但需要注意的是,提交任何包含个人、敏感、专有或其他机密信息的样本,可能会违反受害公司的公司政策,或侵犯与该信息相关的所有权、隐私或其他公司或个人权利。在将此类样本提供给第三方检查之前,应寻求适当的法律指导。
嵌入式工件提取与深入静态分析
成功执行恶意代码样本(如果存在混淆代码,需先从中提取)后,需重新检查样本中的嵌入式工件,并对样本进行更深入的静态分析。使用
