iT邦幫忙

2017 iT 邦幫忙鐵人賽
DAY 13
1
Security

資事體大 毒擋一面 - 資安防護深入淺出系列 第 13

[Day13] 行為分析 - 工欲善其事,必先利其器-分析工具簡介(後篇)

昨天介紹了四種工具,今天我們馬上繼續上一篇內容,繼續介紹另外三種免費程式給各位作為觀察程式行為的利器。

5. BinText

BinText 是一款把程式所有的字串都直接提取出來的工具軟體,而且也可以在內部直接不分 ANSI 或 unicode 直接對檔案進行搜尋,在找一些藏在程式裡的連結或關鍵字尤其方便,如下圖所示。在第一行會顯示所對應第三行字串在檔案中的實體位址(File position),第二行則是所對應字串在映射入記憶體的虛擬位址(Virtual address)。
Bintext-1

另外還有 filter 介面提供使用者對字串提取的條件進行更改。
Bintext-2

載點
BinText http://bintext.soft32.com/

6. ProcessMonitor

ProcessMonitor 可以監看現在電腦的狀態,剛開始執行時左上方的放大鏡就是代表正在監測中,然後資料內容就會大量的出現,再按一下放大鏡就能暫停監控(放大鏡會打個 X ),因為資料量實在太多,所以有必要利用上方的按鈕和設定 filter 來削減多餘的資料。

ProcessMonitor
在上面的地方設定新的 filter,比如想看某個檔案有沒有被啟動就輸入 path contain XXX 之類的條件後按下 add,這樣就會把下面無關該檔案的資料刪掉,藉由設置好過濾條件可以確定看到的資料的確是要觀察的目標,也可以避免多餘的資訊,以上為加入 Processname contain notepad++ 的條件的示範,不用的 filter 記得要刪掉或關掉(左邊的勾勾),以免影響觀察結果。

載點
ProcessMonitor https://technet.microsoft.com/zh-tw/sysinternals/processmonitor

7. WireShark

WireShark 是一個比 Moo0 Connector 強大許多的封包分析軟體,只要安裝好以後點下 start 就可以開始擷取電腦接收或是送出的封包,只要事先啟動就可以觀察一個程式連去哪或是電腦正在被誰連線。

WireShark
在上圖中,我們可以從dns知道電腦正嘗試取得哪些 domain 的 IP,也可以看到哪些 IP 正嘗試連接到我們的電腦中,如果覺得資訊太多也可以選擇利用 filter 過濾多餘資訊,像是範例就是在 filter 裡面輸入 DNS 的結果。

載點
WireShark https://www.wireshark.org/download.html

有了以上的工具,我們就可以在執行病毒之前先把病毒打開來看個仔細,或是在執行前做好各種檢查的準備,像這樣的工具網路上其實還有很多,大家也可以自己去試著找找看適合自己需求的工具程式。

希望有興趣的讀者也能夠點個追蹤,有任何問題或有想多了解的地方也可以回覆在文章底下唷,謝謝你們XDDDD!


上一篇
[Day12] 行為分析 - 工欲善其事,必先利其器-分析工具簡介(前篇)
下一篇
[Day14] 行為分析 - 不是腳本的腳本!Script語言惡意軟體
系列文
資事體大 毒擋一面 - 資安防護深入淺出31

1 則留言

0
虎虎
iT邦新手 3 級 ‧ 2016-12-28 01:39:00

超級實用噠 XDDDDDD

小茶 iT邦新手 5 級‧ 2016-12-28 13:27:52 檢舉

感謝感謝~
虎虎大大會去2017資安大會嗎?

虎虎 iT邦新手 3 級‧ 2016-12-28 13:34:17 檢舉

會哦會哦

我要留言

立即登入留言