前面,我们为读者介绍了漏洞利用和逆向工程方面的基本技能,现在,我们将综合利用这些技术来探究恶意软件。作为道德黑客,有时我们需要在确保安全的情况下动手考察恶意软件,判断其危险性,并设法清除它。本文中,您将有机会体验这一安全领域,涉及的主题有:如果您对这些主题感兴趣的话,可以在“参考资料”部分找到更进一步的资料。
恶意软件
蜜罐技术最新趋势
捕获恶意软件:布置陷阱
恶意软件的初步分析
所谓恶意软件,就是在用户不知情或者未经许可的情况下,不经意安装的或者不请自来的那些软件。
恶意软件的类型
恶意软件的类型有多种,但是我们这里只讨论下列几种:
病毒
所谓病毒,其实是一种寄生性的程序,它们将自己附着到另一个程序之上,以便感染此程序从而执行一些有害的功能。 病毒程序的危害性较大。 有些病毒易于检测和清除,而另一些病毒检测和清除起来却非常棘手。 一些病毒在传播过程中,会利用多态(变形)技术产生新的变体,从而使得检测工作更为困难。 只有当用户启动包含病毒的应用程序或者脚本的时候,病毒才会发作。当然,用户通常不知道自己执行了一个病毒程序,相反,他们通常以为自己打开的只是一张图片,或者是一个看上去无害的应用程序。
特洛伊木马程序
特洛伊木马程序是指含有恶意代码的软件,它能够在用户毫无察觉的情况下为攻击者干一些见不得人的勾当。 顾名思义,许多特洛伊木马通过嵌入到其它软件的方式混入计算机系统。
实际上,盗版软件中经常会有特洛伊木马程序代码。
蠕虫
简单地说,蠕虫就是些能够自动传播的病毒。 它们无需用户参与,就能在系统之间进行传播。 近年来,蠕虫已经非常流行,并且被用于多种目的,例如传播特洛伊木马以及其它类型的恶意软件。
间谍软件/广告软件
间谍软件和广告软件指的是这样一类软件,它们在用户不知情的情况下偷偷安装到计算机上,并向攻击者报告用户的活动情况。 在这种情况下,攻击者通常效力于广告主、市场专员或者因特网研究人员。 大多数情况下,这类软件除了侵犯隐私之外并没有其它恶意。 然而,有些间谍软件会使用键盘纪录技术来捕获用户的击键,从而将用户的机器变成一个中央数据库。 那样的话,密码和金融信息就会被收集,所以间谍软件对于用户或组织来说也是高度危险的。
恶意软件防御技术
恶意软件的一个重要特点是,重新启动后它仍存在于系统中,所以它的存活期很长。所以,攻击者为了保护恶意软件,通常都会设法令其难以发现。
Rootkits
“rootkit”的定义是与时俱进的,不过目前来说,它主要是指这样一类软件,它们能够隐藏自身以及其它软件从而完成一些邪恶的任务。一款优秀的rootkit不仅应该能够具备抗重新启动性,还应该能隐藏进程、文件、注册表项、网络连接,最为重要的是能够隐藏它自己。
加壳工具
加壳工具用来对Windows PE文件格式进行加壳或压缩处理。 常见的加壳工具有
UPX
ASPack
tElock
通过加密提供保护层
一些黑客使用下面的工具来对他们的二进制代码进行加密包装:
Burneye
Shiva
VM检测
不难预料,由于越来越多的安全研究人员使用VMware俘获和研究恶意软件,所以许多恶意软件已经开始使用各种虚拟机(VM)检测技术。 在本章后面部分,我们将介绍这场军备竞赛的最新进展(当然是指截止编写本书为止这段时间内的发展情况)。#p#
蜜罐技术最新趋势
谈到军备竞赛,随着攻击者技术上的不断进步,安全防御者的技术也随之发展。这场猫捉老鼠的游戏已经上演了多年了,攻击者设法逃避检测,而安全防御者则尽力发现最新的威胁,并开发相应的对策来更好地保护他们的网络。
蜜罐
蜜罐是些放到网络中的诱饵系统,它们是专门用来吸引黑客的。 这些系统本身并不贵重,也没有敏感信息,不过它们看起来却很重要。它们之所以被称为蜜罐,是因为这些系统对黑客来说一上手就能得逞,所以他们还会再次光顾。
Honeynets
蜜罐是以单个系统作为诱饵。 而honeynet则是用多个系统作为诱饵。 当然,我们也可以这样认为,即一个honeynet包含两个或更多的蜜罐,如下所示:
为什么使用蜜罐
在企业网络中使用蜜罐的原因有很多,例如伪装和情报搜集。
用于伪装
美国传统词典将“伪装”定义为“1. 通过利用障眼法;2. 被掩饰的事实或状态;3. 欺诈;诡计.” 蜜罐可用于欺骗攻击者,致使他们拿不到王冠,反倒按响警报器。这里的想法是,让您的蜜罐紧贴您的王冠。
【编辑推荐】
