對(duì)病毒木馬的行為分析,離不開功能強(qiáng)大的分析軟件,在眾多的分析工具中,SysAnalyzer無疑是其中的佼佼者,其特點(diǎn)是分析自動(dòng)化程度高,而且可以生成詳細(xì)的分析報(bào)告。其運(yùn)行原理并不復(fù)雜,通過對(duì)可疑程序運(yùn)行前后、對(duì)系統(tǒng)分別進(jìn)行掃描分析并拍攝快照,然后對(duì)兩個(gè)快照進(jìn)行對(duì)比分析,找出可疑程序?qū)ο到y(tǒng)所做的所有修改,并將其寫入報(bào)告文件中,通過對(duì)報(bào)告進(jìn)行分析,可以很容易發(fā)現(xiàn)病毒的蹤跡。為了安全起見,最好在虛擬機(jī)中運(yùn)行SysAnalyzer對(duì)可疑文件進(jìn)行分析處理。
圖4 SysAnalyzer主界面
SysAnalyzer的界面很簡單(如圖4所示),在“Executable”欄中點(diǎn)擊瀏覽按鈕,選擇需要分析的可疑程序,在“Delay”欄中可以設(shè)置拍攝兩個(gè)快照的間隔時(shí)間,一般使用默認(rèn)值即可。在“Option”欄中選擇“Use SniffHit”項(xiàng),開啟嗅探功能,可以用來分析和可疑文件相關(guān)的端口、連接、數(shù)據(jù)傳輸?shù)染W(wǎng)絡(luò)活動(dòng)信息。選 擇“Use ApiLogger”項(xiàng),可以監(jiān)控和可疑文件相關(guān)的API調(diào)用情況。選擇“Use Directory Watch”項(xiàng),可以開啟文件監(jiān)視功能,可以監(jiān)控可疑文件對(duì)文件系統(tǒng)或者注冊(cè)表進(jìn)行的修改動(dòng)作。
這里就以某款病毒為例進(jìn)行分析操作,選擇該病毒程序后,并選擇所有的監(jiān)控項(xiàng)目,點(diǎn)擊“Start”按鈕,SysAnalyzer在該程序運(yùn)行前對(duì)系統(tǒng)拍攝快照,之后運(yùn)行該程序,并對(duì)其運(yùn)行情況進(jìn)行嗅探和監(jiān)視,當(dāng)該程序運(yùn)行完畢后,再拍攝系統(tǒng)快照,并對(duì)兩個(gè)快照進(jìn)行分析處理,得到所需的分析數(shù)據(jù)。
例如,在分析窗口(如圖5所示)底部打開“Running Processes”面板,可以看到新增加的進(jìn)程信息,例如“safe_test.exe”、“setup.tmp” 等 進(jìn)程信息,并顯示其具體的PID、使用者等信息。在目標(biāo)進(jìn)程上點(diǎn)擊右鍵,利用彈出菜單可以依次執(zhí)行顯示調(diào)用的DLL文件、轉(zhuǎn)存文件、結(jié)束進(jìn)程、顯示文件屬性等操作。在“Open ports”面板中顯示該可疑程序打開的所有端口信息,包括打開的端口、使用的協(xié)議、傳輸?shù)臄?shù)據(jù)等內(nèi)容。如果是木馬的話,可以在這里暴露其蹤 跡。在“Process Dlls”面板中顯示插入到Explorer.exe、Iexplorer.exe等系統(tǒng)進(jìn)程中的DLL文件,現(xiàn)在很多DLL木馬都會(huì)將自身注入到別的進(jìn)程中,來避開殺毒軟件的監(jiān)控,在這里可以使其原形畢露。在“Reg Monitor”面板中顯示該可疑程序?qū)ψ?cè)表中所做的所有修改,例如 其 在“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce”分支中創(chuàng)建了一個(gè)名為“evil”的啟動(dòng)項(xiàng),以及跟隨系統(tǒng)啟動(dòng)的病毒文件等信息。
圖5 查看病毒分析信息
在“Loaded Drivers” 面板中顯示該病毒創(chuàng)建的驅(qū)動(dòng)文件,可以看到該病毒創(chuàng)建了后綴為“sys”,名稱隨機(jī)產(chǎn)生的驅(qū)動(dòng)文件,通過潛入系統(tǒng)底層對(duì)系統(tǒng)進(jìn)行破壞。在“Api Log”面板中顯示與該可疑程序相關(guān)的API函數(shù)調(diào)用情況。在“Directory Watch”面 板中顯示該可疑程序相關(guān)的所有文件變動(dòng)信息,包括創(chuàng)建、刪除、修改文件等行為。可以看到,其在系統(tǒng)路徑中創(chuàng)建了多個(gè)DLL文件,同時(shí)在程序文件夾中,以及用戶配置文件夾的特定位置等生成了幾個(gè)EXE、DLL、BAT、SCR 等 可執(zhí)行文件。點(diǎn)擊窗口右下角的“report”按鈕,在報(bào)告窗口中點(diǎn)擊“Save”按鈕,可以在桌面上創(chuàng)建名為“analysis”的文件夾,打開其中的“setup_report.txt”文件,可以查看詳細(xì)的分析數(shù)據(jù),對(duì)其進(jìn)行分析,可以很容易地發(fā)現(xiàn)狡猾病毒的活動(dòng)情況。