--- title: 資通訊安全實務 W4 tags: 第一組 --- # 資通訊安全實務 W4 ## 上禮拜的作業 ### 作業1 - MD5：先上傳程式的 MD5 初步檢查是否為惡意軟體 - 沒事不要上傳檔案，樣本很珍貴 - location 的 section.rdata 會存字串 ### 作業2 - 自己 create 一個新的 server.exe 在 VirusTotal 中上傳 MD5 可能也會被檢測出來，因為這程式被分析到爛了 - 看是否有開檔讀檔，看 import table 但駭客也知道會看 import table 所以駭客也會把資料藏起來 (加殼) - 有些程式連 section.rdata 也看不到了 ## 課程實作 Lab01 ``` 1.透過線上自動化分析並查看報告，是否可能為惡意程式? 2.你覺得這2隻程式會有檔案操作行為嗎? 3.你覺得這2隻程式會有網路通訊行為嗎? 4.請問Lab01.exe 和Lab01.dll兩者可能的關係? 5.請問你覺得這兩個檔案是惡意程式嗎?你的理由是? 6.如果想要檢查其他電腦是不是有遭感染， 請問你會建議如何做?(至少2種) ``` 1. Yes 2. 有檔案操作 (CopyFile) 3. 有網路連線 WS2_32.dll (Sockets) 4. 推測：Lab01.exe 會呼叫 Lab01.dll， 5. 是惡意程式，線上掃毒為惡意程式，連線到可疑 IP 6. - 檢查 system32 裡面有沒有 kerne123.dll 檔 - 看電腦裡面是否有相同 MD5 - 看特徵 **程式在做甚麼?** - 利用程式執行時會動態載入 kernel.dll - 在程式執行時把所有 kernel32.dll 換成 kerne132.dll ## 動態分析 ### 定義 透過在一個特定的環境中==執行樣本與互動==來監控其活動，以觀察其對系統的影響並進行分析 ### Tools - Process explorer - 看程式執行後會不會呼叫東西，觀察惡意程式與其他程式之間的關西 - 觀察惡意程式的狀態 sleep etc - dll 狀態 - Process monitor - 觀察操作登錄檔行為 - 觀察惡意程式是否有操作檔案行為 - 觀察網路行為 - 觀察程式/執行緒行為 - 觀察程式執行動作時間序，推敲程式執行邏輯 ### 操作 登錄檔行為分析操作練習