ИсправСтатья. Анализ алгоритма работы вируса Аннотация. Угроза вирусного заражения с самого начала появления компьютерных систем и по сей день является одной из главных проблем информационной безопасности. По статистике, ежегод
 Скачать 26.23 Kb.
|
|
Анализ алгоритма работы вируса Аннотация. Угроза вирусного заражения с самого начала появления компьютерных систем и по сей день является одной из главных проблем информационной безопасности. По статистике, ежегодный урон по мировой экономике оценивается в нескольких миллиардов долларов. В связи с внедрением в нашу жизнь все больше информационных технологий, этот урон будет только расти. Вместе с этим возникнет все большая потребность в специалистах по вирусной аналитике. Данная статья посвящена рассмотрению различных способов анализа алгоритма работы вредоносных файлов. Ключевые слова: компьютерные вирусы, хеширование, антивирусная защита, анализ файлов. Анализ подозреваемого файла: После нахождения подозреваемого файла необходимо удостовериться, что это действительно экземпляр вредоносной программы. Иногда достаточно опознать его антивирусом, если это какое-то известное вредоносное ПО (для этого может подойти известный сервис VirusTotal). Однако, в большинстве своем, попадаются экземпляры, которые не могут обнаружить антивирусные программы. В этом случае необходимо провести самостоятельный анализ. Перед этим необходимо сделать следующее: Подготовить среду для исследования – создать изолированную виртуальную машину с установленной операционной системой, подходящей для анализа подозреваемого файла. Подключить машину к выходу в интернет. Задокументировать первоначальное состояние системы. Перейдем непосредственно к самому процессу. Существует два типа анализа – динамический и статический. Второй наиболее безопасный, так как он не требует запуск самого вредоносного ПО. Статический анализ На рисунке 1. представлена структура исполнительного кода для Windows. Нас интересует заголовок PE Signature. Этот заголовок содержит основную информацию от том, где и что находится внутри файла, какие должны быть выданы разрешения секциям, настройки для корректной работы. Также нужно просмотреть файл на наличие строковых данных, в которых может быть также полезная информация о, например, адресах серверов управления.  Рисунок 1. Структура исполнительного кода PE Динамический анализ Более рискованным методом анализа является динамический анализ, так как он связан непосредственно с самим запуском вредоносного файла. Делать это нужно на заранее подготовленной виртуальной системе, изолированной от других компьютеров. Основа динамического анализа состоит в перехватывании и изучении вызовов API и библиотек. Рассмотрим основные способы динамического анализа подозрительного ПО: Хеширование Один из методов проверки файла на безопасность является проверка его хеш-суммы. Хеш-сумма — это математический алгоритм, преобразовывающий массив данных в состоящую из букв и цифр строку установленной длины. Для каждого файла существует своя уникальная хеш-сумма. Одно из применений хешей – защита интеллектуальной собственности. Например, звукозаписывающая компания создает список хеш-кодов аудиофайлов, запрещенных к распространению. Если пользователь загрузит на каком-нибудь известном файлообменнике (Drobox, Google Disk и т.д.) защищенный файл, то он будет тут же удален, так как его хеш-сумма находится в открытом списке компании. Примерно так же, как звукозаписывающая компания защищает свой контент, сообщество создает списки хеш-сумм вредоносных программ. Одна из таких баз данных – “virustotal.com”. Проверка файла на онлайн сервисе. Чтобы лишний раз не рисковать своей виртуальной машиной, можно воспользоваться вспомогательными интернет-сервисами. Одним из них служит сайт “any.run”. Помимо окончательного вердикта сайт предлагает очень много полезной информации. Например, к каким службам и реестрам этот файл обращается. Сбор статических данных из файла С помощью некоторых программ можно вытащить статические данные из файла. Одна из таких программ – Detect It Easy. Она позволяет узнать компилятор и язык программирования, на котором была написана исследуемая программа. А также структуру исполнительного файла, использованные формы, название проекта и так далее. Перехват и контроль API функций. API Monitor - программа, которая позволяет контролировать вызовы функций API приложениями и сервисами в Windows. С помощью этой и других подобных программ можно проанализировать подозрительный файл и узнать, к каким библиотекам он подключается, какие процессы вызывает и так далее. Эвристика Один из самых ненадежных методов. Смысл эвристического анализа состоит в «слепом» поиске решения задачи. Сбор информации при таком методе может быть любым – от работы непосредственно с файлами до состояний операционной системы. Например, в антивирусах эвристический анализ происходит согласно некоторым правилам, на основе которых антивирус выносит вердикт подозрительному файлу. Дизассемблирование исполнительного файла. Самый сложный и в то же время эффективный из вышеперечисленных методов. Анализировать код на ассемблере – в разы легче машинного, но все равно это довольно трудный процесс, поэтому, чтобы значительно упростить задачу, можно преобразовать полученный код в псевдокод. Псевдокод – это более упрощенный и понятный человеку неформальный язык описания алгоритмов, опускающий не нужный для понимания алгоритма синтаксис. Заключение: В данной статье нам удалось рассмотреть основные инструменты и методы анализа алгоритма работы вредоносных файлов. Источники: https://xakep.ru/2019/12/02/malware-guide/ - Посмотри в глаза малвари. Гайд по работе с вредоносными файлами для новичков. https://www.kaspersky.ru/blog/the-wonders-of-hashing/3633/ - Чудеса хеширования https://habr.com/ru/post/266831/ - PE (Portable Executable): На странных берегах https://xakep.ru/static/re-malware/18_avresearch.pdf - Изучаем антивирус. |