Praktyczna Analiza Malware. Przewodnik po usuwaniu złośliwego oprogramowania

Michael Sikorski, Andrew Honig

Uzyskaj dostęp

Zakup książkę

ISBN/ISSN:

978-83-01-21972-7

DOI:

Wydawnictwo:

Wydawnictwo Naukowe PWN

Rok wydania:

2021

Liczba stron:

788

XML:ISBN/ISSN:

ONIX MARC21

Bibliografia:

Sikorski, Michael; Honig, Andrew. Praktyczna Analiza Malware. Przewodnik po usuwaniu złośliwego oprogramowania. Red. . : Wydawnictwo Naukowe PWN, 2021, 788 s. ISBN 978-83-01-21972-7

Bibliografia refWorks:

RT Book, Whole

SR Electronic(1)

A1 Sikorski, M.

A1 Honig, A.

T1 Praktyczna Analiza Malware. Przewodnik po usuwaniu złośliwego oprogramowania

PB Wydawnictwo Naukowe PWN

YR 2021

SN 978-83-01-21972-7

Bibliografia BibTex:

@Book{ 252814, author = "Sikorski, Michael and Honig, Andrew", editor = "", title = "Praktyczna Analiza Malware. Przewodnik po usuwaniu złośliwego oprogramowania", publisher = "Wydawnictwo Naukowe PWN", year = "2021", address = "", isbn = "978-83-01-21972-7" }

Bibliografia endNote:

TY - BOOK

AU - Sikorski, Michael

AU - Honig, Andrew

ED -

TI - Praktyczna Analiza Malware. Przewodnik po usuwaniu złośliwego oprogramowania

PB - Wydawnictwo Naukowe PWN

CY -

PY - 2021

SN - 978-83-01-21972-7

ER -

Netografia (standard APA):

Sikorski, Michael; Honig, Andrew. Praktyczna Analiza Malware. Przewodnik po usuwaniu złośliwego oprogramowania [baza danych online] : Wydawnictwo Naukowe PWN, 2021 [dostęp: 06 05 2024]. Dostęp w Ibuk Libra: https://libra.ibuk.pl/reader/praktyczna-analiza-malware-przewodnik-po-usuwaniu-zlosliwego-michael-sikorski-andrew-honig-252814.

złośliwe oprogramowanie, bezpieczeństwo danych, Malware, analiza złośliwego oprogramowania

Analiza złośliwego oprogramowania to ogromny biznes, gdyż ataki mogą słono kosztować firmę. Gdy malware naruszy Twoją obronę, musisz działać szybko, aby wyleczyć bieżące infekcje i zapobiec występowaniu przyszłych. Tych, którzy chcą być kilka krok...

Więcej

ISBN/ISSN:

978-83-01-21972-7

DOI:

Wydawnictwo:

Wydawnictwo Naukowe PWN

Rok wydania:

2021

Liczba stron:

788

XML:ISBN/ISSN:

ONIX MARC21

O AUTORACH 22
O recenzencie technicznym23
O współpracujących autorach23
PRZEDMOWA 24
PODZIĘKOWANIA 28
Indywidualne podziękowania28
WPROWADZENIE 30
Czym jest analiza malware?31
Wymagania wstępne31
Nauka w praktyce32
Co znajduje się w książce?33
0. ELEMENTARZ ANALIZY MALWARE36
Cel analizy malware36
Podstawowa analiza dynamiczna37
Podstawowa analiza statyczna37
Techniki analizy złośliwego oprogramowania37
Rodzaje złośliwego oprogramowania38
Zaawansowana analiza dynamiczna38
Zaawansowana analiza statyczna38
Ogólne zasady analizy malware40
CZĘŚĆ 1 ANALIZA PODSTAWOWA 42
1. PODSTAWOWE TECHNIKI STATYCZNE44
Haszowanie – odcisk palca malware45
Skanowanie antywirusowe – przydatny pierwszy krok45
Znajdowanie łańcuchów46
Pakowanie i obfuskacja przez malware48
Spakowane pliki48
Wykrywanie spakowanych programów za pomocą PEiD49
Dołączane biblioteki i funkcje50
Dołączanie statyczne, w czasie wykonywania i dynamiczne50
Format plików Portable Executable50
Eksplorowanie funkcji dołączanych dynamicznie za pomocą Dependency Walker51
Analiza statyczna w praktyce53
Eksportowane funkcje53
Importowane funkcje53
PotentialKeylogger.exe – rozpakowany plik wykonywalny54
Nagłówki i sekcje plików PE56
PackedProgram.exe – ślepy zaułek56
Badanie plików PE za pomocą PEview57
Podgląd sekcji zasobów za pomocą Resource Hackera60
Korzystanie z innych narzędzi dla plików PE61
Podsumowanie61
Podsumowanie nagłówka Pe61
2. ANALIZA MALWARE NA MASZYNACH WIRTUALNYCH 64
Struktura maszyny wirtualnej65
Konfigurowanie VMware66
Tworzenie maszyny do analizy malware66
Korzystanie z maszyny do analizy malware69
Podłączanie i odłączanie urządzeń peryferyjnych69
Podłączanie malware do internetu69
Wykonywanie migawek70
Przesyłanie plików z maszyny wirtualnej71
Ryzyka związane z wykorzystaniem VMware do analizy malware71
Nagrywanie/odtwarzanie – komputer na biegu wstecznym72
Podsumowanie72
3. PODSTAWOWA ANALIZA DYNAMICZNA74
Piaskownice – podejście tanie i szybkie75
Użycie piaskownicy dla malware75
Wady piaskownic76
Uruchamianie malware77
Monitorowanie za pomocą Process Monitora78
Interfejs narzędzia procmon79
Filtrowanie w procmon80
Interfejs Process Explorera82
Wyświetlanie procesów za pomocą Process Explorera82
Korzystanie z opcji weryfikacji83
Korzystanie z Dependency Walker84
Porównywanie łańcuchów84
Analiza złośliwych dokumentów85
Porównywanie migawek rejestru za pomocą Regshota85
Korzystanie z ApateDNS86
Udawanie sieci86
Monitorowanie za pomocą Netcat87
Analizowanie pakietów za pomocą Wiresharka88
Korzystanie z INetSim90
Podstawowe narzędzia analizy dynamicznej w praktyce91
Podsumowanie95
CZĘŚĆ 2 ZAAWANSOWANA ANALIZA STATYCZNA 98
4. KURS BŁYSKAWICZNY ASEMBLERA X86100
Poziomy abstrakcji101
Inżynieria odwrotna102
Architektura x86103
Pamięć główna103
Instrukcje104
Kody operacji i kolejność bajtów105
Operandy105
Rejestry105
Proste instrukcje108
Stos111
Instrukcje warunkowe114
Rozgałęzienia114
Instrukcje rep115
Metoda main w C i offsety117
Podsumowanie119
Więcej informacji – podręczniki architektury Intel x86119
5. IDA PRO120
Ładowanie pliku wykonywalnego121
Interfejs IDA Pro122
Tryby okna deasemblacji122
Okna przydatne do analizy124
Nawigacja w IDA Pro125
Powrót do widoku domyślnego125
Korzystanie z odsyłaczy128
Odsyłacze w kodzie128
Analizowanie funkcji129
Odsyłacze do danych129
Korzystanie z grafów131
Dostosowywanie zdeasemblowanego kodu132
Zmienianie nazw lokalizacji132
Komentarze133
Formatowanie operandów134
Używanie nazwanych stałych134
Przedefiniowywanie kodu i danych136
Korzystanie ze skryptów IDC137
Rozszerzanie IDA za pomocą wtyczek137
Korzystanie z IDAPython138
Korzystanie z komercyjnych wtyczek139
Podsumowanie139
6. ROZPOZNAWANIE W ASEMBLERZE KONSTRUKCJI JĘZYKA C 142
Zmienne globalne a lokalne143
Deasemblacja operacji arytmetycznych145
Rozpoznawanie instrukcji if146
Graficzna analiza funkcji za pomocą IDA Pro147
Rozpoznawanie zagnieżdżonych instrukcji if147
Rozpoznawanie pętli149
Wykrywanie pętli for149
Wykrywanie pętli while151
Konwencje wywołań funkcji152
cdecl153
fastcall153
Odkładanie vs. kopiowanie153
stdcall153
Analizowanie instrukcji switch155
Styl if155
Deasemblacja tablic159
Identyfikowanie struktur161
Analizowanie odniesień na liście powiązanej164
Podsumowanie166
7. ANALIZOWANIE MALWARE W SYSTEMIE WINDOWS 168
Typy i notacja węgierska169
Windows API169
Funkcje systemu plików170
Uchwyty170
Pliki specjalne171
Rejestr systemu Windows172
Klucze główne rejestru173
Programy uruchamiane automatycznie173
Regedit173
Typowe funkcje dotyczące rejestru174
Analiza kodu rejestru w praktyce175
Gniazda kompatybilne z BSD176
Sieciowe API176
Tworzenie skryptów dotyczących rejestru przy użyciu plików .reg176
Sieć – strona klienta i serwera177
Biblioteki DLL178
Śledzenie działającego malware178
WinINet API178
Procesy180
Wątki182
Koordynacja międzyprocesowa z użyciem muteksów184
Usługi185
Component Object Model187
Wyjątki – gdy coś pójdzie nie tak190
Tryb użytkownika a tryb jądra191
Native API192
Podsumowanie194
CZĘŚĆ 3 ZAAWANSOWANA ANALIZA DYNAMICZNA198
8. DEBUGOWANIE 200
Debuggery kodu źródłowego i debuggery asemblera201
Debugowanie w trybie jądra i w trybie użytkownika201
Korzystanie z debuggera202
Praca krokowa202
Step-over vs. step-into203
Wstrzymywanie wykonywania za pomocą punktów przerwania204
Typowe wyjątki209
Wyjątki209
Wyjątki pierwszej i drugiej szansy209
Modyfikowanie wykonania za pomocą debuggera210
Modyfikowanie wykonywania programu w praktyce210
Podsumowanie211
9. OLLYDBG 212
Ładowanie malware213
Otwieranie pliku wykonywalnego213
Dołączanie do uruchomionego procesu214
Interfejs OllyDbg214
Mapa pamięci215
Rebasing216
Wyświetlanie wątków i stosów218
Wykonywanie kodu219
Programowe punkty przerwania220
Punkty przerwania220
Warunkowe punkty przerwań221
Ładowanie plików DLL223
Pamięciowe punkty przerwania223
Sprzętowe punkty przerwania223
Śledzenie225
Śledzenie wykonania225
Standardowa historia śledzenia225
Stos wywołań225
Śledzenie w Poison Ivy226
Obsługa wyjątków227
Poprawki w kodzie227
Analizowanie shellcode229
Narzędzia pomocnicze229
OllyDump230
Wtyczki230
Command Line231
Hide Debugger231
Bookmarks232
Debugowanie z użyciem skryptów232
Podsumowanie233
10. DEBUGOWANIE JĄDRA ZA POMOCĄ WINDBG236
Sterowniki i kod w jądrze236
Konfigurowanie debugowania jądra238
Korzystanie z operatorów arytmetycznych241
Korzystanie z WinDbg241
Odczytywanie pamięci241
Lista modułów242
Ustawianie punktów przerwania242
Microsoftowe symbole243
Wyszukiwanie symboli243
Wyświetlanie informacji o strukturze244
Konfigurowanie windowsowych symboli245
Debugowanie jądra w praktyce246
Spojrzenie na kod w przestrzeni użytkownika246
Spojrzenie na kod w trybie jądra247
Znajdowanie obiektów sterowników250
Rootkity252
Analiza rootkitów w praktyce253
Przerwania256
Ładowanie sterowników257
Problemy z jądrem w Windows Vista, Windows 7 i w wersjach x64257
Podsumowanie258
CZĘŚĆ 4 FUNKCJONALNOŚCI MALWARE 260
11. ZACHOWANIE MALWARE262
Downloadery i launchery262
Backdoory263
Połączenie zwrotne263
Narzędzia administracji zdalnej264
Botnety265
Porównanie RAT i botnetów265
Złodzieje danych uwierzytelniających265
Przechwytywanie poprzez GINA266
Zrzucanie skrótów267
Rejestrowanie naciśnięć klawiszy269
Mechanizmy trwałości272
Rejestr systemu Windows272
Systemowe pliki binarne z wprowadzonym trojanem274
Przejmowanie kolejności ładowania bibliotek DLL275
Eskalacja uprawnień276
Użycie SeDebugPrivilege277
Tuszując swoje ślady – rootkity w trybie użytkownika278
IAT hooking279
Inline hooking279
Podsumowanie281
12. UKRYTE URUCHAMIANIE MALWARE 284
Launchery284
Iniekcja DLL285
Iniekcja do procesu285
Bezpośrednia iniekcja288
Podmiana procesu288
Iniekcja hooków290
Hooki lokalne i zdalne291
Keyloggery korzystające z hooków291
Użycie SetWindowsHookEx291
Wybieranie za cel ataku określonego wątku292
Detours293
Iniekcja APC293
Iniekcja APC z przestrzeni użytkownika294
Iniekcja APC z przestrzeni jądra295
Podsumowanie296
13. SZYFROWANIE DANYCH298
Cel analizy algorytmów szyfrowania298
Proste szyfrowanie299
Szyfr Cezara299
XOR299
Base64305
Inne proste metody szyfrowania305
Typowe algorytmy kryptograficzne309
Rozpoznawanie łańcuchów i importów310
Wyszukiwanie stałych kryptograficznych310
Wyszukiwanie treści o wysokiej entropii312
Identyfikowanie niestandardowego szyfrowania314
Niestandardowe szyfrowanie314
Zalety niestandardowego szyfrowania dla atakującego316
Deszyfrowanie317
Ręczne tworzenie funkcji deszyfrujących317
Samodeszyfracja317
Użycie instrumentacji do generycznego deszyfrowania319
Podsumowanie322
14. SYGNATURY SIECIOWE DOTYCZĄCE MALWARE 326
Przeciwdziałania dotyczące sieci326
Obserwacja złośliwego oprogramowania w jego naturalnym środowisku327
Wskaźniki szkodliwej aktywności328
OPSEC = Operations security293 Bezpieczne, online’owe badanie atakującego329
Taktyki pośrednie329
Uzyskiwanie adresu IP i informacji o domenie329
Przeciwdziałania oparte na zawartości ruchu siecioweg331
Wykrywanie włamań za pomocą Snorta331
Głębsze spojrzenie333
Łączenie technik analizy dynamicznej i statycznej336
Niebezpieczeństwo nadmiernej analizy337
Ukrywanie się przed wzrokiem337
Zrozumienie otaczającego kodu341
Znalezienie kodu odpowiedzialnego za komunikację sieciową342
Dane wpisane na stałe a dane efemeryczne343
Poznawanie źródeł zawartości ruchu sieciowego343
Identyfikacja i wykorzystanie etapów szyfrowania344
Tworzenie sygnatury346
Analizowanie reguł parsowania347
Wybieranie wielu elementów349
Zrozumienie perspektywy atakującego350
Podsumowanie351
CZĘŚĆ 5 ZAPOBIEGANIE INŻYNIERII ODWROTNEJ 356
15. ZAPOBIEGANIE DEASEMBLACJI358
O co chodzi w zapobieganiu deasemblacji359
Deasemblacja liniowa360
Pokonać algorytmy deasemblacji360
Deasemblacja śledząca przepływ programu362
Instrukcje skoku z tym samym celem365
Techniki zapobiegania deasemblacji365
Instrukcja skoku ze stałym warunkiem366
Niemożliwa deasemblacja367
Wstawianie instrukcji NOP w IDA Pro370
Problem ze wskaźnikiem funkcji371
Zaciemnianie kontroli przepływu wykonania371
Dodawanie brakujących odsyłaczy w kodzie w IDA Pro372
Nadużywanie wskaźnika powrotu372
Niewłaściwe wykorzystanie strukturalnej obsługi wyjątkó374
Zapobieganie analizie ramek stosu377
Podsumowanie379
16. ZAPOBIEGANIE DEBUGOWANIU382
Użycie Windows API383
Wykrywanie debuggera w systemie Window383
Ręczne sprawdzanie struktur384
Identyfikowanie zachowania debuggera387
Sprawdzanie śladów w systemie387
Kontrole czasu388
Skanowanie IN388
Wyznaczanie sum kontrolnych kodu388
Użycie wywołań zwrotnych TLS390
Zakłócanie funkcjonalności debuggera390
Użycie wyjątków392
Wstawianie przerwań393
Luki w debuggerach394
Luki w nagłówku PE394
Luka w OutputDebugString396
Podsumowanie396
17. TECHNIKI WYKRYWANIA MASZYNY WIRTUALNEJ400
Artefakty VMware401
Omijanie wyszukiwania artefaktów VMware403
Podatności w instrukcjach404
Sprawdzanie artefaktów pamięci404
Użycie jako anty-WM techniki Red Pill405
Użycie techniki No Pill406
Odpytywanie portu komunikacji we/wy407
Instrukcje anty-VM architektury x86408
Podświetlanie anty-VM w IDA Pro408
Użycie instrukcji408
Podkręcanie ustawień410
Użycie ScoopyNG410
Podsumowanie411
Poza maszynę wirtualną411
18. PAKOWANIE I ROZPAKOWYWANIE 414
Anatomia pakera415
Ładowanie pliku wykonywalnego415
Nakładka rozpakowująca415
Rozwiązywanie importów416
Ilustracja procesu rozpakowywania417
Skok ogonowy417
Obliczanie entropii418
Rozpoznawanie spakowanych programów418
Wskaźniki spakowanego programu418
Automatyczne rozpakowywanie419
Warianty rozpakowywania419
Rozpakowywanie ręczne420
Przebudowa tabeli importów za pomocą narzędzia Import Reconstructor421
Znajdowanie OEP422
Ręczna naprawa tabeli importów427
PECompact428
UPX428
Wskazówki i porady dotyczące popularnych pakerów428
ASPack429
Petite429
WinUpack429
Analizowanie bez pełnego rozpakowywania431
Themida431
Spakowane biblioteki DLL432
Podsumowanie433
CZĘŚĆ 6 TEMATY SPECJALNE434
19. ANALIZOWANIE SHELLCODE 436
Kod niezależny od pozycji437
Ładowanie shellcode’u w celu analizy437
Określanie miejsca wykonywania438
Użycie call/pop438
Użycie fnstenv440
Manualne rozwiązywanie symboli442
Znajdowanie kernel32.dll w pamięci442
Parsowanie danych o eksportach z PE444
Użycie zahaszowanych nazw eksportów445
Kompletny przykład Hello World447
Szyfrowanie shellcode’u450
Ślizganie się po NOP-ach451
Poszukiwanie shellcode’u451
Podsumowanie453
20. ANALIZOWANIE C++ 456
Programowanie obiektowe456
Wskaźnik this457
Przeciążanie i dekorowanie459
Dziedziczenie i nadpisywanie funkcji460
Funkcje wirtualne461
Użycie vtable463
Rozpoznawanie vtable464
Tworzenie i niszczenie obiektów465
Podsumowanie466
21. 64-BITOWE MALWARE 470
Dlaczego 64-bitowe malware?471
Różnice w architekturze x64472
Różnice w konwencji wywołań i użyciu stosu w x64473
Funkcje wywołujące i nie wywołujące innych funkcji475
Prolog i epilog w kodzie 64-bitowym475
64-bitowa obsługa wyjątków476
Windows 32-bitowy w Windowsie 64-bitowym476
Wskazówki dotyczące funkcjonalności 64-bitowego malware477
Podsumowanie478
DODATEK A WAŻNE FUNKCJE SYSTEMU WINDOWS 480
DODATEK B NARZĘDZIA DO ANALIZY MALWARE 492
DODATEK C ROZWIĄZANIA ĆWICZEŃ LABORATORYJNYCH 504
Laboratorium 1.1 – rozwiązania504
Laboratorium 1.2 – rozwiązania506
Laboratorium 1.3 – rozwiązania507
Laboratorium 1.4 – rozwiązania508
Laboratorium 3.1 – rozwiązania509
Laboratorium 3.2 – rozwiązania512
Laboratorium 3.3 – rozwiązania517
Laboratorium 3.4 – rozwiązania519
Laboratorium 5.1 – rozwiązania520
Laboratorium 6.1 – rozwiązania527
Laboratorium 6.2 – rozwiązania529
Laboratorium 6.3 – rozwiązania534
Laboratorium 6.4 – rozwiązania537
Laboratorium 7.1 – rozwiązania539
Laboratorium 7.2 – rozwiązania544
Laboratorium 7.3 – rozwiązania546
Laboratorium 9.1 – rozwiązania556
Laboratorium 9.2 – rozwiązania565
Laboratorium 9.3 – rozwiązania570
Laboratorium 10.1 – rozwiązania574
Laboratorium 10.2 – rozwiązania580
Laboratorium 10.3 – rozwiązania586
Laboratorium 11.1 – rozwiązania592
Laboratorium 11.2 – rozwiązania597
Laboratorium 11.3 – rozwiązania606
Laboratorium 12.1 – rozwiązania611
Laboratorium 12.2 – rozwiązania616
Laboratorium 12.3 – rozwiązania623
Laboratorium 12.4 – rozwiązania625
Laboratorium 13.1 – rozwiązania633
Laboratorium 13.2 – rozwiązania637
Laboratorium 13.3 – rozwiązania643
Laboratorium 14.1 – rozwiązania652
Laboratorium 14.2 – rozwiązania658
Laboratorium 14.3 – rozwiązania663
Laboratorium 15.1 – rozwiązania671
Laboratorium 15.2 – rozwiązania672
Laboratorium 15.3 – rozwiązania677
Laboratorium 16.1 – rozwiązania681
Laboratorium 16.2 – rozwiązania686
Laboratorium 16.3 – rozwiązania690
Laboratorium 17.1 – rozwiązania695
Laboratorium 17.2 – rozwiązania698
Laboratorium 17.3 – rozwiązania703
Laboratorium 18.1 – rozwiązania710
Laboratorium 18.2 – rozwiązania711
Laboratorium 18.3 – rozwiązania712
Laboratorium 18.4 – rozwiązania715
Laboratorium 18.5 – rozwiązania717
Laboratorium 19.1 – rozwiązania721
Laboratorium 19.2 – rozwiązania724
Laboratorium 19.3 – rozwiązania729
Laboratorium 20.1 – rozwiązania738
Laboratorium 20.2 – rozwiązania739
Laboratorium 20.3 – rozwiązania742
Laboratorium 21.1 – rozwiązania749
Laboratorium 21.2 – rozwiązania754
INDEKS758

istniejądwieróżnewersjefunkcji:jednadlałańcuchówASCIIidrugadlałańcuchów

znajszerszymzestawemznaków.NależypamiętaćopominięciukońcowejliteryAlub

WpodczaswyszukiwaniafunkcjiwdokumentacjiMicrosoftu.

Importowanefunkcje

NagłówekplikuPEzawieratakżeinformacjeospecyﬁcznychfunkcjachużywanych

przezplikwykonywalny

.NazwytychfunkcjisystemuWindowsmogądaćnamdobre

wyobrażenieotym,corobidanyplikwykonywalny

.Microsoftdoskonaledokumentuje

interfejsWindowsAPIzapomocąbibliotekiMicrosoftDeveloperNetwork(MSDN).

(WzałącznikuAznajdujesięrównieżlistafunkcjiczęstoużywanychprzezzłośliwe

oprogramowanie).

Eksportowanefunkcje

Podobniejakwprzypadkuimportowania,bibliotekiDLLiplikiEXEeksportująfunk-

cjewceluinterakcjizinnymiprogramamiikodem.BibliotekaDLLzazwyczajimple-

mentujejednąlubwięcejfunkcjiieksportujejedowykorzystaniaprzezplikwykony-

walny

,którymożejenastępniezaimportowaćiwykorzystać.

PlikPEzawierainformacjeotym,którefunkcjeeksportujeplik.Ponieważbiblio-

tekiDLLsąspecjalnietworzonewceluzaoferowaniafunkcjonalnościwykorzystywanej

przezplikiEXE,eksportowanefunkcjesąnajczęściejspotykanewbibliotekachDLL.

PlikiEXEniesązaprojektowanewceluzapewnieniafunkcjonalnościdlainnychpli-

kówEXE,aeksportowaniefunkcjijestrzadkie.Jeśliwplikuwykonywalnymodkryjemy

eksport,częstomożeonnamdostarczyćużytecznychinformacji.

Wwieluprzypadkachtwórcyoprogramowanianazywająswojeeksportowane

funkcjewsposób,którydostarczaużytecznychinformacji.Jednązpowszechnychkon-

wencjijestużywanienazwstosowanychwdokumentacjiMicrosoftu.Abynaprzykład

uruchomićprogramjakousługę,musimynajpierwzdeﬁniowaćfunkcjęServiceMain.

ObecnośćeksportowanejfunkcjionazwieServiceMaininformuje,żezłośliweoprogra-

mowaniedziałajakousługa.

Niestety

,choćdokumentacjaMicrosoftnazywatęfunkcjęServiceMain,aprogra-

miścizazwyczajnazywająjątaksamo,totakafunkcjamożemiećdowolnąnazwę.

Dlategonazwyeksportowanychfunkcjimająwrzeczywistościograniczonezastosowa-

niewprzypadkuwyraﬁnowanegozłośliwegooprogramowania.Jeślimalwarekorzy-

stazeksportu,częstoalbocałkowiciepomijanazwy

,alboużywanazwniejasnychlub

wprowadzającychwbłąd.

MożemywyświetlićinformacjeoeksporciezapomocąprogramuDependency

WalkeromówionegowDEksplorowaniufunkcjidołączanychdynamiczniezapomocą

DependencyWalker”nastronie16.Abywyświetlićlistęeksportowanychfunkcji,na-

leżykliknąćnazwępliku,którychcemyzbadać.Narysunku1.6okienko4pokazuje

wszystkiefunkcjeeksportowanewpliku.

Analizastatycznawpraktyce

Teraz,gdypoznaliśmyjużpodstawyanalizystatycznej,przeanalizujmyprawdziwe

malware.Przyjrzyjmysiępotencjalnemukeyloggerowi,anastępniespakowanemu

programowi.

18Rozdział1

Brak wyników

Praktyczna Analiza Malware. Przewodnik po usuwaniu złośliwego oprogramowania

Treść książki

Znajdź bibliotekę blisko siebie, i uzyskaj dostęp do ebooka w systemie IBUK Libra