利用Python開源工具分析惡意代碼

1　開源軟件與Python環(huán)境 1
1．1　關于開源軟件 2
如果管理人員熟悉開源軟件 2
1．2　Python簡介 3
1．3　搭建Python環(huán)境與程序發(fā)布 3
1．3．1　在Windows下搭建Python環(huán)境 3
1．3．2　使用Eclipse與PyDev搭建Python開發(fā)環(huán)境 7
1．3．3　使用pyinstaller發(fā)布程序 12
1．4　從Github站點下載開源工具 15
1．5　安裝Python模塊 17
1．6　小結 19
2　通過peframe學習PE文件結構 20
2．1　PE文件結構 21
2．1．1　DOS Header結構體 23
2．1．2　DOS Stub Program 26
2．1．3　IMAGE_NT_HEADER結構體 26
2．2　分析peframe工具 28
2．2．1　IMPORT模塊 29
2．2．2　預處理部分 30
2．2．3　分析main函數 35
2．2．4　peframe中的函數 40
2．3　惡意代碼的特征因子 136
2．3．1　殺毒結果 136
2．3．2　散列值 137
2．3．3　加殼器 138
2．3．4　節(jié)區(qū)名與熵 139
2．3．5　API 141
2．3．6　字符串 143
2．3．7　PE元數據 144
2．4　小結 145
3　惡意代碼分析服務 146
3．1　惡意代碼分析環(huán)境 147
3．1．1　自動分析服務種類 147
3．1．2　惡意代碼分析Live CD介紹 148
3．1．3　收集惡意代碼 151
3．2　線上分析服務 166
3．2．1　VirusTotal服務 166
3．2．2　應用VirusTotal服務API 173
3．2．3　使用URLquery查看感染惡意代碼的網站 188
3．2．4　使用hybrid-analysis分析惡意代碼 190
3．3　小結 192
4　使用Cuckoo Sandbox 193
4．1　Cuckoo Sandbox定義 195
4．2　Cuckoo Sandbox特征 196
4．3　安裝Cuckoo Sandbox 197
4．3．1　安裝Ubuntu 14．04 LTS 199
4．3．2　安裝VMware Tools 203
4．3．3　鏡像站點 205
4．3．4　安裝輔助包與庫 206
4．3．5　安裝必需包與庫 207
4．3．6　設置tcpdump 213
4．4　安裝沙箱 214
4．4．1　安裝沙箱 214
4．4．2　安裝增強功能 218
4．4．3　安裝Python與Python-PIL 219
4．4．4　關閉防火墻與自動更新 220
4．4．5　網絡設置 221
4．4．6　設置附加環(huán)境 223
4．4．7　安裝Agent．py 224
4．4．8　生成虛擬機備份 228
4．4．9　通過復制添加沙箱 229
4．5　設置Cuckoo Sandbox 232
4．5．1　設置cuckoo．conf 232
4．5．2　設置processing．conf 236
4．5．3　設置reporting．conf 238
4．5．4　設置virtualbox．conf 239
4．5．5　設置auxiliary．conf 242
4．5．6　設置memory．conf 243
4．6　運行Cuckoo Sandbox引擎 247
4．6．1　Community．py 248
4．6．2　使用最新Web界面 250
4．6．3　上傳分析文件 252
4．6．4　調試模式 255
4．6．5　使用經典Web界面 256
4．7　Cuckoo Sandbox報告 257
4．7．1　JSONdump報告 257
4．7．2　HTML報告 258
4．7．3　MMDef報告 259
4．7．4　MAEC報告 260
4．8　Api．py分析 262
4．8．1　POST-/tasks/create/file 263
4．8．2　POST-/tasks/create/url 264
4．8．3　GET- /tasks/list 264
4．8．4　GET-/tasks/view 266
4．8．5　GET- /tasks/delete 267
4．8．6　GET-/tasks/report 267
4．8．7　GET-/tasks/screenshots 269
4．8．8　GET-/files/view 269
4．8．9　GET-/files/get 270
4．8．10　GET-/pcap/get 270
4．8．11　GET-/machine/list 270
4．8．12　GET-/machines/view 272
4．8．13　GET-/cuckoo/status 272
4．9　Cuckoo Sandbox實用工具 273
4．9．1　clean．sh 273
4．9．2　process．py 274
4．9．3　stats．py 274
4．9．4　submit．py 275
4．10　分析結果 275
4．10．1　Quick Overview 276
4．10．2　Static Analysis 279
4．10．3　Behavioral Analysis 280
4．10．4　Network Analysis 281
4．10．5　Dropped Files 282
4．11　使用Volatility的內存分析結果 282
4．11．1　Process List 283
4．11．2　Services 284
4．11．3　Kernel Modules 285
4．11．4　Device Tree 285
4．11．5　Code Injection 286
4．11．6　Timers 286
4．11．7　Messagehooks 287
4．11．8　API Hooks 287
4．11．9　Callbacks 288
4．11．10　Yarascan 288
4．11．11　SSDT 288
4．11．12　IDT 289
4．11．13　GDT 289
4．12　Admin功能 290
4．13　比較功能 290
4．14　小結 292
5　惡意代碼詳細分析 293
5．1　查看Cuckoo Sandbox分析結果 294
5．2　線上分析報告 295
5．3　手動詳細分析 296
5．4　小結 323
6　其他分析工具 324
6．1　使用viper分析與管理二進制文件 325
6．1．1　安裝viper 325
6．1．2　使用viper 326
6．1．3　viper命令 327
6．1．4　模塊 337
6．2　使用ClamAV對惡意代碼分類 354
6．3　使用pyew管理與分析惡意代碼 363
6．3．1　查看幫助 365
6．3．2　查看導入表 368
6．3．3　在VirusTotal中檢測文件 370
6．3．4　查看URL信息 371
6．3．5　檢測PDF文件 373
6．4　使用pescanner檢測惡意代碼 379
6．4．1　使用Yara簽名進行檢測 381
6．4．2　檢測可疑API函數 383
6．4．3　查看熵值 385
6．5　使用PEStudio分析可疑文件 385
6．6　分析網絡包 388
6．6．1　使用captipper分析網絡包 388
6．6．2　使用pcap-analyzer分析網絡包 390
6．6．3　使用net-creds獲取重要信息 393
6．7　使用各種開源工具分析惡意代碼文件 395
6．8　使用Docker容器 402
6．8．1　Docker定義 402
6．8．2　關于Docker Hub 403
6．8．3　使用REMnux Docker鏡像 405
6．9　小結 408
7　利用內存分析應對入侵事故 409
7．1　Volatility簡介與環(huán)境搭建 410
參考社區(qū)（維基頁面） 415
7．2　使用Volatility分析惡意代碼 416
7．3　開源工具：TotalRecall 424
7．4　使用Redline分析內存 433
7．5　Volatility插件使用與推薦 441
7．6　使用Rekall進行內存取證分析 445
7．7　使用VolDiff比較內存分析結果 462
7．8　使用DAMM比較內存分析結果 471
7．9　惡意代碼內存分析示例 474
7．10　通過攻擊模擬了解內存轉儲用法 477
7．11　小結 482