程序代碼檢測系統(tǒng)用戶手冊(共12頁)

1、精選優(yōu)質(zhì)文檔-傾情為你奉上家庭物聯(lián)智能終端系統(tǒng)軟件 用戶手冊一、 系統(tǒng)簡介惡意程序代碼檢測系統(tǒng)是一款非常專業(yè)的代碼檢測軟件。通過這款惡意程序代碼檢測系統(tǒng)，就能幫助用戶隨意進行代碼安全檢測，讓你日常放心進行編程使用。功能主要包括：垃圾郵件分析、取證分析、終端掃描等。二、系統(tǒng)的功能1. 惡意代碼惡意代碼的行為表現(xiàn)各異，破壞程度千差萬別，但基本作用機制大體相同，其整個作用過程分為5個部分： (1)侵入系統(tǒng)。侵入系統(tǒng)是惡意代碼實現(xiàn)其惡意目的的必要條件。惡意代碼入侵的途徑很多，如：從互聯(lián)網(wǎng)下載的程序本身就可能含有惡意代碼；接收已經(jīng)感染惡意代碼的電子郵件；從光盤或軟盤往系統(tǒng)上安裝軟件；黑客或者攻擊者故意將

2、惡意代碼植入系統(tǒng)等。 (2)維持或提升現(xiàn)有特權(quán)。惡意代碼的傳播與破壞必須盜用用戶或者進程的合法權(quán)限才能完成。 (3)隱蔽策略。為了不讓系統(tǒng)發(fā)現(xiàn)惡意代碼已經(jīng)侵入系統(tǒng)，惡意代碼可能會改名、刪除源文件或者修改系統(tǒng)的安全策略來隱藏自己。(4)潛伏。惡意代碼侵入系統(tǒng)后，等待一定的條件，并具有足夠的權(quán)限時，就發(fā)作并進行破壞活動。 (5)破壞。惡意代碼的本質(zhì)具有破壞性，其目的是造成信息丟失、泄密，破壞系統(tǒng)完整性等2.靜態(tài)檢測靜態(tài)檢測不實際運行軟件，主要是對軟件的編程格式、結(jié)構(gòu)等方面進行評估。靜態(tài)測試包括代碼審查、桌面檢查、代碼走查等。3、動態(tài)檢測動態(tài)測試是指通過運行被測程序來檢查運行結(jié)果與預(yù)期結(jié)果的差異，并

3、分析運行效率與健壯性等指標(biāo)的測試方法。 4、垃圾郵件分析垃圾郵件分析是分析可疑的郵件消息。例主機發(fā)出警報從上圖中可以看到選中時段內(nèi)有兩次針對MSSQL應(yīng)用的疑似主機掃描行為。系統(tǒng)還增加了針對選中對象的分析功能（如選中某應(yīng)用或某IP地址），在這里我們選中其中某警報日志條目，點擊鼠標(biāo)右鍵，選擇“分析”菜單項，就可以針對選中時段的MSSQL應(yīng)用進行單獨分析，這樣可以快速判斷警報是否誤報。從上圖中可以看出，警報發(fā)生的時段某外網(wǎng)IP在短時間內(nèi)嘗試與內(nèi)網(wǎng)所有主機的TCP 1433端口建立連接，由于內(nèi)網(wǎng)主機都沒有安裝SQL Server，所以每個連接請求都沒有得到應(yīng)答，每個會話

4、都只有1個數(shù)據(jù)包?？梢詳喽ㄟ@個外網(wǎng)IP在做全網(wǎng)段的MSSQL服務(wù)主機掃描。在案例中的網(wǎng)絡(luò)中，我們利用這個自定義的掃描警報發(fā)現(xiàn)了大量的類似掃描行為。這些行為的共同特點是發(fā)生時間很短（整個掃描過程一般在3秒內(nèi)完成），一次掃描會觸發(fā)13次警報。掃描針對的應(yīng)用主要集中在MSSQL、MySQL、Oracle等數(shù)據(jù)庫端口以及CIFS、NetBios等共享端口，通常這些端口會容易受到漏洞攻擊或弱口令攻擊?，F(xiàn)在我們可以及時的發(fā)現(xiàn)并在邊緣設(shè)備上針對這些掃描的端口或IP地址進行過濾，避免更大的安全問題發(fā)生。這一分鐘的時間段里觸發(fā)了56次掃描警報，這明顯與其他時段發(fā)生的掃描行為有區(qū)別。通常主機掃描者不會針對一個應(yīng)用

5、端口持續(xù)很長時間反復(fù)掃描。一般情況下，針對SMTP端口的SYN flood攻擊才有可能持續(xù)觸發(fā)我們定制的掃描警報，然而這種SYN flood攻擊往往會在“TCP分析”趨勢圖上看到明顯的TCP同步包數(shù)量增加，而從上圖的“TCP分析”趨勢圖上卻看不到這一現(xiàn)象。為了進一步分析判斷這一事件的原因，我們使用系統(tǒng)的應(yīng)用統(tǒng)計分析功能，對這一時段的SMTP會話進行了統(tǒng)計分析。從上圖中的流量趨勢圖上明顯看到SMTP流量在警報發(fā)生的時段內(nèi)有明顯增加，最大流量超過150Kbps；在TCP會話視圖中，我們看到一個內(nèi)網(wǎng)IP在短時間內(nèi)與若干個外網(wǎng)IP的TCP 25端口建立了很TCP會話，這些

6、會話并不像掃描行為那樣只有很少量的數(shù)據(jù)包，而是每個會話有幾個到幾十個不等（截圖中碰巧都是11個數(shù)據(jù)包）。 至此基本排除了這些警報是掃描行為的可能性，但可以判斷這些TCP會話不是正常的郵件發(fā)送，因為正常的郵件發(fā)送不會產(chǎn)生如此多的會話，而且正常郵件發(fā)送的平均數(shù)據(jù)包長度不會小于72字節(jié)。要了解些異常會話的真正作用，就需要對這些會話進行數(shù)據(jù)包級解碼分析，于是我們將這一時段的SMTP應(yīng)用的數(shù)據(jù)包下載到控制臺，利用控制臺自帶的科來網(wǎng)絡(luò)分析模塊進行解碼分析。從數(shù)據(jù)流信息中我們看到59.36.102.51這個外網(wǎng)IP有可能是21CN的郵件服務(wù)器，觸發(fā)警報的內(nèi)網(wǎng)IP在嘗試向的某個不存在的用戶發(fā)送郵件，

7、21CN的郵件服務(wù)器拒絕了這次郵件發(fā)送。繼續(xù)查看其他與21CN的TCP會話，發(fā)現(xiàn)每個會話的發(fā)件人都是“tyco110”，收件人郵箱地址在不斷變化，每個會話的收件人都不相同但郵件后綴都是“”。說明這個內(nèi)網(wǎng)IP的主機的郵件發(fā)送程序并不知道收件人的真實信息，而是在不斷變換郵件前綴嘗試向21CN的用戶發(fā)送郵件。由于該內(nèi)網(wǎng)IP在短時間內(nèi)向21CN的郵件服務(wù)器發(fā)起了大量SMTP會話，一段時間后21CN的郵件服務(wù)器拒絕了該IP的郵件發(fā)送請求。在該內(nèi)網(wǎng)IP與其他外網(wǎng)IP的SMTP會話中，我們看到了與21CN的會話相似的行為，這些外網(wǎng)IP包括“”、“”、“世紀(jì)互聯(lián)”等多家郵件服務(wù)提供商或IDC的郵件服務(wù)器地址，

8、還包括一些中小型ICP的郵件服務(wù)器地址。在下載的全部4000多個SMTP會話中，成功發(fā)送郵件的會話不到10個，看來這個垃圾郵件發(fā)送程序的效率并不是很高，或者是內(nèi)置的用戶列表已經(jīng)過時了。在幾個成功發(fā)送的郵件會話中我們可以看到明顯的垃圾郵件內(nèi)容。5、取證分析值得一提的應(yīng)用場景是取證。內(nèi)存取證，可以支持掃描來查明可疑的對象，比如進程、文件、注冊表鍵值或互斥體。相對于靜態(tài)文件的規(guī)則，因為它需要應(yīng)對加殼器和加密器，分析內(nèi)存對象的規(guī)則通?？梢垣@得更廣的觀察范圍。在網(wǎng)絡(luò)取證領(lǐng)域，使用掃描網(wǎng)絡(luò)數(shù)據(jù)包文件。類似于垃圾郵件分析的應(yīng)用場景，使用規(guī)則進行取證可以起到事半功倍的作用。 4.1靜態(tài)分析方法是指在

9、不執(zhí)行二進制程序的條件下進行分析，如反匯編分析，源代碼分析，二進制統(tǒng)計分析，反編譯等，屬于逆向工程分析方法。（1）靜態(tài)反匯編分析，是指分析人員借助調(diào)試器來對而已代碼樣本進行反匯編出來的程序清單上根據(jù)匯編指令碼和提示信息著手分析。（2）靜態(tài)源代碼分析，在擁有二進制程序的源代碼的前提下，通過分析源代碼來理解程序的功能、流程、邏輯判定以及程序的企圖等。 （3）反編譯分析，是指經(jīng)過優(yōu)化的機器代碼恢復(fù)到源代碼形式，再對源代碼進行程序執(zhí)行流程的分析。4.2動態(tài)分析方法 是指惡意代碼執(zhí)行的情況下利用程序調(diào)試工具對惡意代碼實施跟蹤和觀察，確定惡意代碼的工作過程對靜態(tài)分析結(jié)果進行驗證。 （1）系統(tǒng)調(diào)用行為分析方法正常行為分析常被應(yīng)用于異常檢測之中，是指對程序的正常行為輪廓進行分析和表示，為程序建立一個安全行為庫，當(dāng)被監(jiān)測程序的實際行為與其安全行為庫中的正常行為不一致或存在一定差異時，即認(rèn)為該程序中有一個異常行為，存在潛在的惡意性。惡意行為分析則常被誤用檢測所采用，是通過對惡意程序的危害行為或攻擊行為進行分析，從中抽取程序的惡意行為特征，以此來表示程序的惡意性。 （2）啟發(fā)式掃描技術(shù)啟發(fā)式掃描技術(shù)是為了彌補被廣泛應(yīng)用的特征碼掃面技術(shù)的局限性而提出來的。其中啟發(fā)式是指“自我發(fā)現(xiàn)能力或運用某種方