程序代码检测系统用户手册范本Word格式文档下载.docx
《程序代码检测系统用户手册范本Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《程序代码检测系统用户手册范本Word格式文档下载.docx(9页珍藏版)》请在冰豆网上搜索。
垃圾分析、取证分析、终端扫描等。
二、系统的功能
1.恶意代码
恶意代码的行为表现各异,破坏程度千差万别,但基本作用机制大体相同,其整个作用过程分为5个部分:
(1)侵入系统。
侵入系统是恶意代码实现其恶意目的的必要条件。
恶意代码入侵的途径很多,如:
从互联网下载的程序本身就可能含有恶意代码;
接收已经感染恶意代码的电子;
从光盘或软盘往系统上安装软件;
黑客或者攻击者故意将恶意代码植入系统等。
(2)维持或提升现有特权。
恶意代码的传播与破坏必须盗用用户或者进程的合法权限才能完成。
(3)隐蔽策略。
为了不让系统发现恶意代码已经侵入系统,恶意代码可能会改名、删除源文件或者修改系统的安全策略来隐藏自己。
(4)潜伏。
恶意代码侵入系统后,等待一定的条件,并具有足够的权限时,就发作并进行破坏活动。
(5)破坏。
恶意代码的本质具有破坏性,其目的是造成信息丢失、泄密,破坏系统完整性等
2.静态检测
静态检测不实际运行软件,主要是对软件的编程格式、结构等方面进行评估。
静态测试包括代码审查、桌面检查、代码走查等。
3、动态检测
动态测试是指通过运行被测程序来检查运行结果与预期结果的差异,并分析运行效率与健壮性等指标的测试方法。
4、垃圾分析
垃圾分析是分析可疑的消息。
例主机发出警报
从上图中可以看到选中时段有两次针对MSSQL应用的疑似主机扫描行为。
系统还增加了针对选中对象的分析功能(如选中某应用或某IP地址),在这里我们选中其中某警报日志条目,点击鼠标右键,选择“分析”菜单项,就可以针对选中时段的MSSQL应用进行单独分析,这样可以快速判断警报是否误报。
从上图中可以看出,警报发生的时段某外网IP在短时间尝试与网所有主机的TCP
1433端口建立连接,由于网主机都没有安装SQL
Server,所以每个连接请求都没有得到应答,每个会话都只有1个数据包。
可以断定这个外网IP在做全网段的MSSQL服务主机扫描。
在案例中的网络中,我们利用这个自定义的扫描警报发现了大量的类似扫描行为。
这些行为的共同特点是发生时间很短(整个扫描过程一般在3秒完成),一次扫描会触发1~3次警报。
扫描针对的应用主要集中在MSSQL、MySQL、Oracle等数据库端口以及CIFS、NetBios等共享端口,通常这些端口会容易受到漏洞攻击或弱口令攻击。
现在我们可以及时的发现并在边缘设备上针对这些扫描的端口或IP地址进行过滤,避免更大的安全问题发生。
这一分钟的时间段里触发了56次扫描警报,这明显与其他时段发生的扫描行为有区别。
通常主机扫描者不会针对一个应用端口持续很长时间反复扫描。
一般情况下,针对SMTP端口的SYN
flood攻击才有可能持续触发我们定制的扫描警报,然而这种SYN
flood攻击往往会在“TCP分析”趋势图上看到明显的TCP同步包数量增加,而从上图的“TCP分析”趋势图上却看不到这一现象。
为了进一步分析判断这一事件的原因,我们使用系统的应用统计分析功能,对这一时段的SMTP会话进行了统计分析。
从上图中的流量趋势图上明显看到SMTP流量在警报发生的时段有明显增加,最大流量超过150Kbps;
在TCP会话视图中,我们看到一个网IP在短时间与若干个外网IP的TCP
25端口建立了很TCP会话,这些会话并不像扫描行为那样只有很少量的数据包,而是每个会话有几个到几十个不等(截图中碰巧都是11个数据包)。
至此基本排除了这些警报是扫描行为的可能性,但可以判断这些TCP会话不是正常的发送,因为正常的发送不会产生如此多的会话,而且正常发送的平均数据包长度不会小于72字节。
要了解些异常会话的真正作用,就需要对这些会话进行数据包级解码分析,于是我们将这一时段的SMTP应用的数据包下载到控制台,利用控制台自带的科来网络分析模块进行解码分析。
从数据流信息中我们看到59.36.102.51这个外网IP有可能是21CN的服务器,触发警报的网IP在尝试向的某个不存在的用户发送,21CN的服务器拒绝了这次发送。
继续查看其他与21CN的TCP会话,发现每个会话的发件人都是“tyco110163.”,收件人地址在不断变化,每个会话的收件人都不相同但后缀都是“12cn.”。
说明这个网IP的主机的发送程序并不知道收件人的真实信息,而是在不断变换前缀尝试向21CN的用户发送。
由于该网IP在短时间向21CN的服务器发起了大量SMTP会话,一段时间后21CN的服务器拒绝了该IP的发送请求。
在该网IP与其他外网IP的SMTP会话中,我们看到了与21CN的会话相似的行为,这些外网IP包括“”、“126.”、“世纪互联”等多家服务提供商或IDC的服务器地址,还包括一些中小型ICP的服务器地址。
在下载的全部4000多个SMTP会话中,成功发送的会话不到10个,看来这个垃圾发送程序的效率并不是很高,或者是置的用户列表已经过时了。
在几个成功发送的会话中我们可以看到明显的垃圾容。
5、取证分析
值得一提的应用场景是取证。
存取证,可以支持扫描来查明可疑的对象,比如进程、文件、注册表键值或互斥体。
相对于静态文件的规则,因为它需要应对加壳器和加密器,分析存对象的规则通常可以获得更广的观察围。
在网络取证领域,使用扫描网络数据包文件。
类似于垃圾分析的应用场景,使用规则进行取证可以起到事半功倍的作用。
4.1静态分析方法
是指在不执行二进制程序的条件下进行分析,如反汇编分析,源代码分析,二进制统计分析,反编译等,属于逆向工程分析方法。
(1)静态反汇编分析,是指分析人员借助调试器来对而已代码样本进行反汇编出来的程序清单上根据汇编指令码和提示信息着手分析。
(2)静态源代码分析,在拥有二进制程序的源代码的前提下,通过分析源代码来理解程序的功能、流程、逻辑判定以及程序的企图等。
(3)反编译分析,是指经过优化的机器代码恢复到源代码形式,再对源代码进行程序执行流程的分析。
4.2动态分析方法
是指恶意代码执行的情况下利用程序调试工具对恶意代码实施跟踪和观察,确定恶意代码的工作过程对静态分析结果进行验证。
(1)系统调用行为分析方常行为分析常被应用于异常检测之中,是指对程序的正常行为轮廓进行分析和表示,为程序建立一个安全行为库,当被监测程序的实际行为与其安全行为库中的正常行为不一致或存在一定差异时,即认为该程序中有一个异常行为,存在潜在的恶意性。
恶意行为分析则常被误用检测所采用,是通过对恶意程序的危害行为或攻击行为进行分析,从中抽取程序的恶意行为特征,以此来表示程序的恶意性。
(2)启发式扫描技术启发式扫描技术是为了弥补被广泛应用的特征码扫面技术的局限性而提出来的。
其中启发式是指“自我发现能力或运用某种方式或方法去判定事物的知识和技能”。
6、终端扫描
最终,还有值得留意的应用场景是端点扫描。
不错,在客户端计算机上进行扫描。
由于扫描引擎是跨平台的,我们完全可以在Windows系统上使用Linux系统上开发的特征规则。
唯一需要解决的问题是如何分发扫描引擎,下发规则,以及将扫描结果发送到某个中心位置。