月度關注熱點

AVPClub成立威脅測試實驗室 11.25名單更新
dmserver.dll木馬
0021樣本包回覆區(請注意計算方式)
台灣樂彩官網惡意程式樣本+分析結果
最新AutoRUN,能抓到的廠商不多!
這次的精彩了,yahoo樣本一個
我的志願((超好笑,不看可惜))((另附校長評語)) 密碼(1230)
VirusTotal 沒有掃到但是可能有問題
久違的yahoo樣本
norton無故報毒

最新更新主題

早餐時間,大家測試看看囉...
新威脅1隻,大家測試看看囉...
No.20 Test reply - 2008年12月1日 17:44 前之樣本總測試
可疑網站
晚餐時間,大家測試看看囉...
下午茶時間,大家測試看看囉...
午餐時間,大家測試看看囉...
木馬更新中,大家測試看看囉...
早餐時間,大家測試看看囉...
網頁病毒、2個

是否可以鼓勵網友分析病毒行為?

發表時間: 2008-8-19 21:34    作者: SPeter    來源: AVPClub Security Home

字體: | 打印

最早時,Roger版主等部份網友會對樣本提供利用HIPS或虛擬機測試出的行為分析。前陣子在下比較有空、偶爾看到有興趣的樣本時,會寄到NORMAN SANBOX看行為為何。

我的一點建議是,不知道能否以實質獎懲鼓勵大家提供對樣本行為的分析?因為這類資訊對於中毒要修復系統者、想瞭解病毒行為者或是開始玩HIPS正在摸索建立規則者應該有很大的幫助,比單純病毒名稱和哪些軟體能偵測更能提供充分資訊。

這篇版規討論中就有提出相同的看法,不過基於掃描遠比分析行為容易,因此當時考量回覆人數等問題我也覺得還好。不過後來用過線上Sandbox 分析,才發現的確和andy講得一樣,是誰都能做,沒什麼風險和技術需求的作法。

有鑑於最近威脅樣本測試區的樣本量雖然多、每天幾乎都有超過10個,但是文章幾乎都是4、5個人一人測一種防毒軟體回覆個病毒名稱或沒掃到就沒了,比上述討論串討論當時的情況好像還更惡化;不知是否要求能儘量將可疑檔案名稱寫在標題裡,並以獎懲系統鼓勵大家提供行為分析。這樣除了有效上報跟快速賺黃金外,也能合群眾之力建立一個病毒行為的資料庫(每週近百個區域流行的惡意程式行為分析,我想這樣的成果累積應該夠嚇人了),擴大樣本測試區的作用,不知大家怎麼想?

[ 本帖最後由 SPeter 於 2008-8-19 21:44 編輯 ]

我也來說兩句 查看全部評論 相關評論

  • 小韋 (2008-8-19 22:45:28)

    嗯,你的提議不錯,必竟設立威脅樣本區的主要用意就是希望在發現任何新威脅或可疑威脅時除了第一時間能快速上報給防毒軟體廠商外,也希望論壇裡面有專業能力的人可以先來分析這些可疑威脅檔案的行為與破壞程度,適時的在第一時間就先來做到防範與提醒,所以這樣的架構模式是不錯的,而且..威脅區我每天看都是固定的這些人在回覆,還有很多防毒軟體好像都沒人在拿來做測試,像Panda最近在本論壇就都沒人在做測試了,不知道是不是因為Panda都沒人測試的關係,我看現在最流行的這隻Swizzor變種都已經數不清了,可是我看Panda從一開始到現在都沒報過這隻毒,真讓人擔憂使用Panda的客戶,要是碰到這隻毒不知該怎麼辦說,所以我個人認為因該多鼓勵大家使用不同的防毒軟體來做測試,並且多一些懂病毒分析行為的人材,在第一時間可以更快速的幫大家分析到底是不是屬於病毒或是惡意軟體或誤判,不知道大家有沒有更好的提議或想法呢...

  • aken (2008-8-19 22:50:35)

    +1
    贊成這樣建議,但是分析好像藥學一些其他的東西
    有人想發起教學嗎?

  • megakotaro (2008-8-19 23:15:32)

    樓主是說這個東東嗎?
    http://www.norman.com/microsites/nsic/Submit/en-us
    我進norman sandbox看了一下
    分析結果是很複雜的
    不過對電腦有中上程度的了解是可以懂的

    但是你說的「也能合群眾之力建立一個病毒行為的資料庫」
    說實在,我們建立了,用處在哪?
    這種資料庫給防毒軟體廠商其實是比較有用的
    除非這個論壇能做出實際的東西(我們來做論壇專屬防毒軟體,完全自製 )
    否則只是個report貼著,卻沒有實際意義
    (或許可以寄給沒偵測到的廠商,要它們重新分析 這就是.......施壓 )

    [ 本帖最後由 megakotaro 於 2008-8-19 23:25 編輯 ]

  • SPeter (2008-8-19 23:53:49)

    分析結果很複雜?我覺得還好啊。反正主要就是創建哪些檔案、修改哪些註冊碼、會出現哪些病毒生成的執行程序(剩下看不懂就算了……本人不求甚解……)。

    像有時候被迫當好人,幫人處理中毒電腦。如果能找到一個樣本行為分析,告訴我哪幾個檔案是病毒創建,哪些註冊碼被動過。那就省下了在那邊跑SREng,看著一長串報表挑毛病慢慢修的麻煩事。當然,知道病毒名稱後,直接去找個單一專殺程式來執行也是一種辦法啦……

    「分析好像要學一些其他的東西」
    最基礎而且安全的作法,你只要知道有哪些線上SANDBOX會幫你分析程式行為(像我常用的NORMAN),然後把樣本上傳、收信看結果、複製貼上,完成……只要會上傳樣本跟收信就好……我只知道NORMAN,不知還有沒有人能提供其他網站?

    其實我是想知道最近的病毒都在幹什麼,但是沒那麼多時間自己送SANDBOX分析,所以才有這個提議(好找別人代勞……)。而且我想,把SANDBOX的分析跟著樣本一起回報,分析師的動作大概也會快很多(雖然他領的薪水不會因此分你一點)……

  • megakotaro (2008-8-20 00:05:18)

    QUOTE:

    原帖由 SPeter 於 2008-8-19 23:53 發表
    分析結果很複雜?我覺得還好啊。反正主要就是創建哪些檔案、修改哪些註冊碼、會出現哪些病毒生成的執行程序(剩下看不懂就算了……本人不求甚解……)。

    像有時候被迫當好人,幫人處理中毒電腦。如果能找到一個樣 ...
    不過我去了那個網站,還要註冊怎麼樣的,不然只會給你幾行簡短報告
    你要不要專門發一篇Norman Sandbox上傳教學
    從註冊到上傳,然後報告出來
    這樣各位也能學到如何手動分析(正確來說應該是分析結果)

    還有,有些廠商很固執,明明記了報告過去,他就是堅持原案
    像我曾報過avira掃過為無病毒的檔案
    但用virustotal卻一堆能偵測
    他就是要認定沒有病毒
    好吧.......他最大

  • SPeter (2008-8-20 00:58:16)

    http://www.norman.com/microsites/nsic/Submit/

    根本不用註冊啊(要註冊還找不到地方)……

    不就選檔案、填信箱、打4字認證(換很快,所以一定要先填其他兩格、按一次更換圖片,再快速填入認證)、按上傳、收工……只是不能送壓縮檔跟檔名一定要是英文,送壓縮檔他就只會告訴你解壓縮產生某某檔案……

    結果像這個:http://www.avpclub.ddns.info/discuz/viewthread.php?tid=12899

    當然因為它是按行為類別分類而且敘述不是很全,不像有時候ㄚ一版主或黑衣~魂大那樣用PDM或HIPS跑出來的結果精確,但是我想以簡易性和易懂性而言,作為行為分析入門、以量取勝應該也夠了。

    virustotal一堆能偵測,他就是要認定沒有病毒啊……他會中文的話,可能回信標題會寫「眾人皆醉我獨醒」……

  • sun88990 (2008-8-20 08:58:26)

    Swizzor的問題我已經跟Luis Corrons說了~
    就看他們怎麼做了~(不過他們好像打算讓他繼續變種而不去處理)
    還有panda對Swizzor的定義為:Adware.Lop
    --
    題外話:ThreatExpert好像不能分析bat的檔案..
    也就是說,有些東西上報後會說沒問題..(有可能就是生成bat而無法測試?)
    還有..有人用過Sunbelt的sandbox嗎?

    [ 本帖最後由 sun88990 於 2008-8-20 09:04 編輯 ]

  • megakotaro (2008-8-20 11:36:26)

    QUOTE:

    原帖由 SPeter 於 2008-8-20 00:58 發表
    http://www.norman.com/microsites/nsic/Submit/

    根本不用註冊啊(要註冊還找不到地方)……

    不就選檔案、填信箱、打4字認證(換很快,所以一定要先填其他兩格、按一次更換圖片,再快速填入認證)、按上傳、收 ...
    其實我在問這個問題時已經用過了
    只是我看我測了一個檔案只有幾行而已
    我想是不是因為免費,所以就會限制行數
    因為測出來沒有像ㄚ一那樣,所以才有懷疑
    加上他裡面還有這個東東:
    http://www.norman.com/microsites ... r/Products/analyzer
    所以我把他們搞混了
    我貼的這個它就會要註冊(先給你一些資訊,試用一下,然後........繳錢 ):
    http://www.norman.com/microsites/malwareanalyzer/Products/Buy

    我現在懂了,感謝協助

  • 黑衣~魂 (2008-8-20 12:15:32)

    norman sandbox是目前提供比較完整的廠商

    但類似sandbox的能力有限,況且很多測試下來的結果可以發現sandbox所提供的資訊根本與正常系統有相當的出路~所以根本沒有多大的用處~

    線上sandbox支援能測的malware格式並不多,只要malware透過轉碼在執行,sandbox根本不能測到什麼資料~甚至有些malware會依附某些程式執行,sandbox沒有該程式也測不到資料

    我並不認為一般trojan也有必要都分析,trojan類型發作後~通常只要透過基本的系統分析工具都可以解決7成以上了,有些專業工具甚至都可以解決到9成左右
    http://www.avpclub.ddns.info/discuz/thread-44-1-1.html
    這方面只要有人願意在-中毒救援求助區-協助就好了~

    也當然要鼓勵網友提供~利用HIPS或虛擬機測試出的行為報告!

    [ 本帖最後由 黑衣~魂 於 2008-8-20 12:21 編輯 ]

  • aken (2008-8-20 18:48:24)

    所以自己使用HIPS軟體應該會比較好囉?
    但還是希望可以有詳細的教學,要不然看到那些訊息就眼花了

  • SPeter (2008-8-20 22:57:10)

    HIPS有點風險,因為沒擋到或按錯會真的被感染(本人當年年幼無知玩火自焚的教訓)。虛擬機算是安全有效的作法,你只要知道去哪看行為列表就好(但是要大家都去灌個虛擬機我看不可能)。

    考量很多回覆都是兩行文,有SANDBOX的分析我個人覺得已經不錯了,每個人都來這麼一小步,自然能匯聚成一大步。因為回這種樣本測試也是有熱度的,時間一久大家都懶得測……所以先求簡單快速能長久行之,偶爾遇到特殊或熱門樣本,幾乎都有夠內行的人會測詳細行為。

    再說「不認為一般trojan也有必要都分析」,但是這樣就跟VB100一樣,90%的樣本都放著一邊涼快了啊……

  • ㄚ一 (2008-8-20 23:04:39)

    我也覺得可以多多試著推廣VMWare測毒
    還有使用HIPS來作為終端部份的防禦
    畢竟緝毒引擎的啟發無法高比率的檢查出惡意軟體

    至於用什麼分析我倒是覺得無所謂,每個人都有自己的喜好
    貼出來讓其他人參考也很不錯!
    VT的結果其實可以不必一直貼,我從幾年前就對VT一直很反感
    因為你無法從它的偵測果斷定受測的檔案是否真的是惡意軟體
    反而還經常誤導不少人...

    不過分析是需要專業的知識,至少不是像以往掃瞄樣本那種
    掃出結果就可以了,或多或少也是需要一些學習!

  • sylovanas (2008-8-21 00:47:35)

    就我自己為了要寫清毒用的工具

    所以常常直接拿一些在外面有實際碰過的東西下去測

    有些時候其實要了解他完整的動作光靠HIPS也是不夠
    比如說這個病毒他要掏空SSDT,他釋放驅動beep.sys
    結果被阻擋,阻擋之後他就自己消失了...

    但如果讓他掏空SSDT時他就會繼續下一步的動作
    但SSDT被掏空所以也是有一大部分的動作都偵測不到
    必須要靠經驗和工具來分析並且自己找工具清毒

    我是比較建議分析病毒行為方面的話另外放一個區域會比較好
    然而分析歸分析,要怎麼處理那些動作又是另外一回事了..

  • cyberarmy (2008-8-21 03:34:30)

    演变的阶段:
    用反病毒软件扫->虚拟机/沙盘/HIPS保护下运行->静态、动态解密脱壳反汇编代码研究。

  • haol (2008-8-21 08:59:34)

    其實不需要每個樣本都做分析
    我們可以挑一些比較流行的來做專欄
    例如收集這一個月的yahoo信箱木馬
    然後開個主題公佈virustotal的結果哪些廠商需要上報
    或是說我們可以根據掃到的結果來清除相關的生成物...等
    再收集這些流行的主題做成索引以方便查閱
    這些yahoo信箱木馬的生成物跟動作都一樣
    無奈的是經過免殺處理又生成一大堆

    [ 本帖最後由 haol 於 2008-8-21 09:00 編輯 ]

  • 黑衣~魂 (2008-8-21 13:48:52)

    我比較贊同用VMWare測毒或是VirtualBox來測毒

    其實不是反對貼sandbox,而是貼sandbox對需要的人有沒有幫助,玩很久sandbox其實發現sandbox能力真的很有限,資訊也不怎麼的正確!sandbox提供的路徑及生成檔案都會有出路了!

    對於一般trojan~我的經驗裡通常Trojan受害者系統變動不可能會跟測毒結果完全相同,尤其是用sandbox測下的結果~幾乎都會有相當的出路的,包含檔案的生成~

    與其這樣的分析很普通的trojan,如果真的要對中毒要修復系統者有幫助不如協助他們分析system log還比較有幫助~從基本的HijackThis或System Repair Engineer....等

    因為我們測試的檔案是單純的樣本,中毒者他們的來源並不是如此單純的~中毒後那段時間也是
    如果錯誤資訊讓中毒者有誤解我不認為這會有什麼幫助,反而會造成困擾而已!

    [ 本帖最後由 黑衣~魂 於 2008-8-21 14:03 編輯 ]

  • integear (2008-8-21 22:11:26)

    QUOTE:

    原帖由 小韋 於 2008-8-19 22:45 發表
    嗯,你的提議不錯,必竟設立威脅樣本區的主要用意就是希望在發現任何新威脅或可疑威脅時除了第一時間能快速上報給防毒軟體廠商外,也希望論壇裡面有專業能力的人可以先來分析這些可疑威脅檔案的行為與破壞程度,適時的在 ...
    TruPrevent .

  • SPeter (2008-8-21 22:22:57)

    有道理,當時沒想到沙盒結果會跟實際的差那麼多……我是想說生成檔名跟註冊碼應該一樣,參考起來多少會方便一點。調用並修改系統程序這類動作我以為無法修復,所以沒去想。

    HIPS有個sylovanas提出的問題:就是除非真的有知識跟耐心跟它磨,不然有些樣本阻止關鍵動作後,後面也就都沒了,但是放行這個動作又會被感染、無法偵測動作……

    還是有沒有人要寫篇「輕鬆上手,圖說虛擬機樣本測試入門」……然後找幾家防毒公司合作,說我們把測試搞定,他老兄提病毒碼就好,看能不能集滿1000點換一年試用之類的(想太多)……

  • ss30102 (2008-8-21 23:12:47)

    來分享一下軟體拉~~
    我覺得可以用這套軟體去查病毒的行徑
    軟體名:Symantec Software Virtualization Admin 2.1
    免費性軟體
    介紹一下他的運作方式
    他就是會紀錄你安裝的軟體更動的地方(他們稱保護層)
    然後可以看你的需要啟用或關閉軟體
    以上是運作方式
    他原本用意是拿來測BETA的軟體
    但是他會紀錄更動的地方
    所以我覺得可以拿來測病毒
    等病毒測完.資料抓取完
    之後把那的保護層
    移除掉或停用
    就又可以變得像新的了

    他會實際去動用系統檔案
    所以會比較真實巴~

    他連會動用到啥檔案都會紀錄下來

    安裝範本:酒精120%

    只是初步介紹
    使用方法有一點點的麻煩
    所以改天再寫

    因該不算是廣告文巴
    我怕會被認為成是廣告文

    [ 本帖最後由 ss30102 於 2008-8-21 23:16 編輯 ]

  • shisin (2008-8-22 09:19:52)

    我覺得這個提議不錯,不過仍然會有一些問題,像panda 我很想測他的truprevent,但是在virtual box下裝xp來測,卡在他的ram需求要1g,我的電腦ram才2g,開個vista後其他弄一弄,設定1g 開vbox就不行了,所以只能測他的掃毒部分,之前我是有一直在上報panda,可是panda分析的速度是愈來愈慢了,之前三個月前上報的毒最近才回覆給我 = =。
查看全部評論我也來說兩句