利用 Python 開源工具分析惡意代碼 利用Python开源工具分析恶意代码

趙涏元, 崔祐碩, 李導炅, 鄭智訓

  • 出版商: 人民郵電出版社
  • 出版日期: 2018-01-01
  • 定價: $594
  • 售價: $594
  • 貴賓價: 9.5$564
  • 語言: 簡體中文
  • 頁數: 482
  • 裝訂: 平裝
  • ISBN: 711547298X
  • ISBN-13: 9787115472984
  • 相關分類: Python 程式語言

立即出貨 (庫存 < 3)

買這商品的人也買了...

相關活動主題

20180802 %e6%9c%80%e6%96%b0%e5%88%b0%e8%b2%a8small

商品描述

惡意代碼分析過程中,重要的是掌握惡意代碼的特徵,此時需要靈活運用線上服務的快速分析數據和主要惡意代碼的數據庫。《利用Python開源工具分析惡意代碼》從應對入侵事故一線業務人員角度出發,介紹了分析惡意代碼時的Python 等眾多開源工具的使用方法,也給出了可以迅速應用於實際業務的解決方案。

作者簡介

趙涏元(chogar@naver.com)
目前在KB投資證券公司負責安全工作,管理安全防範項目組(http://www.boanproject.com)。
在A3 Security公司做過5年滲透測試諮詢顧問,在滲透測試項目管理、網絡應用開發、源代碼診斷等多種領域執行過漏洞診斷。之後在KTH安全團隊負責移動服務和雲服務安全、應對侵權事故等業務。與人合著《Kali Linux & BackTrack滲透測試實戰》《Android惡意代碼分析與滲透測試》等,現與安全防範項目組成員一起活躍在各個領域。  

崔祐碩
目前在(株)韓國信息保護教育中心(KISEC,Korean Information Security Education Center)f-NGS研究所負責安全及相關領域研究,並在此基礎上舉辦講座,不斷發表分析報告書。
主要研究惡意代碼分析及發布、開源工具應用、Web黑客攻防等,致力於技術與人文的結合。曾在(株)Tricubelab分析惡意代碼發布、研究多種方法,構建並測試惡意代碼相關開源工具,在此過程中積累創意和經驗。
負責安全防範項目組的惡意代碼及漏洞部分研究,與人合著《Kali Linux & BackTrack滲透測試實戰》,管理Hakawati Lab(www.hakawati.co.kr)博客。

李導炅
曾在三星SDS負責4年Web漏洞診斷業務,現在NSHC Red Alert團隊擔任惡意代碼分析研究員,同時負責教育內容開發業務。在安全防範項目組負責惡意代碼分析項目,關注並研究開源分析與開發。

鄭智訓
計算機信息通信工程專業在讀,曾任蔚山大學信息安全興趣小組UOU_Unknown組長,目前依然參與小組活動。在安全防範項目組以惡意代碼分析項目起步,負責惡意代碼分析相關開源工具分析與研究項目。正在研究利用開源工具開發簡單高效的惡意代碼分析自動化系統。

目錄大綱

1開源軟件與Python環境1 
1.1關於開源軟件2 
如果管理人員熟悉開源軟件2 
1.2 Python簡介3 
1.3搭建Python環境與程序發布3 
1.3.1在Windows下搭建Python環境3 
1.3.2使用Eclipse與PyDev搭建Python開發環境7 
1.3.3使用pyinstaller發布程序12 
1.4從Github站點下載開源工具15 
1.5安裝Python模塊17 
1.6小結19 

2通過peframe學習PE文件結構20 
2.1 PE文件結構21 
2.1.1 DOS Header結構體23 
2.1. 2 DOS Stub Program 26 
2.1.3 IMAGE_NT_HEADER結構體26 
2.2分析peframe工具28 
2.2.1 IMPORT模塊29 
2.2.2預處理部分30 
2.2.3分析main函數35 
2.2.4 peframe中的函數40 
2.3惡意代碼的特徵因子136 
2.3.1殺毒結果136 
2.3.2散列值137 
2.3.3加殼器138 
2.3.4節區名與熵139
2.3.5 API 141 
2.3.6字符串143 
2.3.7 PE元數據144 
2.4小結145 

3惡意代碼分析服務146 
3.1惡意代碼分析環境147 
3.1.1自動分析服務種類147 
3.1.2惡意代碼分析Live CD介紹148 
3.1.3收集惡意代碼151 
3.2線上分析服務166 
3.2.1 VirusTotal服務166 
3.2.2應用VirusTotal服務API 173 
3.2.3使用URLquery查看感染惡意代碼的網站188 
3.2.4使用hybrid-analysis分析惡意代碼190 
3.3小結192 

4使用Cuckoo Sandbox 193 
4.1 Cuckoo Sandbox定義195 
4.2 Cuckoo Sandbox特徵196 
4.3安裝Cuckoo Sandbox 197 
4.3.1安裝Ubuntu 14.04 LTS 199 
4.3.2安裝VMware Tools 203 
4.3.3鏡像站點205 
4.3.4安裝輔助包與庫206 
4.3.5安裝必需包與庫207 
4.3.6設置tcpdump 213 
4.4安裝沙箱214
4.4.1安裝沙箱214 
4.4.2安裝增強功能218 
4.4.3安裝Python與Python-PIL 219 
4.4.4關閉防火牆與自動更新220 
4.4.5網絡設置221 
4.4.6設置附加環境223 
4.4.7安裝Agent.py 224 
4.4.8生成虛擬機備份228 
4.4.9通過複製添加沙箱229 
4.5設置Cuckoo Sandbox 232 
4.5.1設置cuckoo.conf 232 
4.5.2設置processing.conf 236 
4.5.3設置reporting.conf 238 
4.5.4設置virtualbox.conf 239 
4.5.5設置auxiliary.conf 242 
4.5.6設置memory.conf 243 
4.6運行Cuckoo Sandbox引擎247 
4.6.1 Community.py 248 
4.6.2使用最新Web界面250 
4.6.3上傳分析文件252 
4.6.4調試模式255 
4.6.5使用經典Web界面256 
4.7 Cuckoo Sandbox報告257 
4.7.1 JSONdump報告257 
4.7.2 HTML報告258
4.7.3 MMDef報告259 
4.7.4 MAEC報告260 
4.8 Api.py分析262 
4.8.1 POST-/tasks/create/file 263 
4.8.2 POST-/tasks/create/url 264 
4.8.3 GET- /tasks/ list 264 
4.8.4 GET-/tasks/view 266 
4.8.5 GET- /tasks/delete 267 
4.8.6 GET-/tasks/report 267 
4.8.7 GET-/tasks/screenshots 269 
4.8.8 GET-/files/ view 269 
4.8.9 GET-/files/get 270 
4.8.10 GET-/pcap/get 270 
4.8.11 GET-/machine/list 270 
4.8.12 GET-/machines/view 272 
4.8.13 GET-/cuckoo/ status 272 
4.9 Cuckoo Sandbox實用工具273 
4.9.1 clean.sh 273 
4.9.2 process.py 274 
4.9.3 stats.py 274 
4.9.4 submit.py 275 
4.10分析結果275 
4.10.1 Quick Overview 276
4.10.2 Static Analysis 279 
4.10.3 Behavioral Analysis 280 
4.10.4 Network Analysis 281 
4.10.5 Dropped Files 282 
4.11使用Volatility的內存分析結果282 
4.11.1 Process List 283 
4.11.2 Services 284 
4.11.3 Kernel Modules 285 
4.11 .4 Device Tree 285 
4.11.5 Code Injection 286 
4.11.6 Timers 286 
4.11.7 Messagehooks 287 
4.11.8 API Hooks 287 
4.11.9 Callbacks 288 
4.11.10 Yarascan 288 
4.11.11 SSDT 288 
4.11.12 IDT 289 
4.11.13 GDT 289 
4.12 Admin功能290 
4.13比較功能290 
4.14小結292 

5惡意代碼詳細分析293 
5.1查看Cuckoo Sandbox分析結果294 
5.2線上分析報告295 
5.3手動詳細分析296 
5.4小結323

6其他分析工具324 
6.1使用viper分析與管理二進製文件325 
6.1.1安裝viper 325 
6.1.2使用viper 326 
6.1.3 viper命令327 
6.1.4模塊337 
6.2使用ClamAV對惡意代碼分類354 
6.3使用pyew管理與分析惡意代碼363 
6.3.1查看幫助365 
6.3.2查看導入表368 
6.3.3在VirusTotal中檢測文件370 
6.3.4查看URL信息371 
6.3.5檢測PDF文件373 
6.4使用pescanner檢測惡意代碼379 
6.4.1使用Yara簽名進行檢測381 
6.4.2檢測可疑API函數383 
6.4.3查看熵值385 
6.5使用PEStudio分析可疑文件385 
6.6分析網絡包388 
6.6.1使用captipper分析網絡包388 
6.6.2使用pcap-analyzer分析網絡包390 
6.6.3使用net-creds獲取重要信息393 
6.7使用各種開源工具分析惡意代碼文件395 
6.8使用Docker容器402 
6.8.1 Docker定義402 
6.8.2關於Docker Hub 403
6.8.3使用REMnux Docker鏡像405 
6.9小結408 

7利用內存分析應對入侵事故409 
7.1 Volatility簡介與環境搭建410 
參考社區(維基頁面) 415 
7.2使用Volatility分析惡意代碼416 
7.3開源工具:TotalRecall 424 
7.4使用Redline分析內存433 
7.5 Volatility插件使用與推薦441 
7.6使用Rekall進行內存取證分析445 
7.7使用VolDiff比較內存分析結果462 
7.8使用DAMM比較內存分析結果471 
7.9惡意代碼內存分析示例474 
7.10通過攻擊模擬了解內存轉儲用法477 
7.11小結482