نوع فایل: word
قابل ویرایش 92 صفحه
چکیده:
بدافزار یا Malware خلاصه ی کلمه ی نرم افزار مخرب یا Malicious Software می باشد. هرگونه کد یا برنامه ای که برای نظارت ، جمع آوری اطلاعات شخصی و یا تخریب کامپیوتر شما استفاده می شود به عنوان بدافزار شناخته می شود.
دو روش اساسی برای تجزیه و تحلیل بدافزارها وجود دارد که عبارت اند از : روش استاتیک و روش دینامیک که هر کدام جداگانه توضیح داده شده اند.
تجزیه و تحلیل بدافزارها با تجزیه و تحلیل استاتیک ، که معمولا اولین گام مطالعه ی بدافزارها می باشد شروع می کنیم. همچنین برنامه های بسته بندی شده یا گیج کننده توضیح داده شده است و ابزارهایی برای باز کردن برنامه های بسته بندی شده ، معرفی شده اند.
در بخش دیگری از پروژه ، ماشین های مجازی مطرح شده اند. ماشین های مجازی مانند یک کامپیوتر در داخل یک کامپیوتر دیگر می باشند ، به طوری که سیستم عامل میهمان در داخل سیستم عامل میزبان نصب می شود.
بخشی از این پروژه درباره ی ایجاد یک محیط امن برای تجزیه و تحلیل بدافزارهای دینامیکی می باشد و در اواخر این بخش ، نرم افزار VMware مطرح شده است و فصل آخر این پروژه نیز مربوط به مقدمات تجزیه و تحلیل دینامیکی می باشد.
این پروژه در چهار فصل که فصل اول مربوط به مفاهیم مقدماتی تجزیه و تحلیل بدافزارها ، فصل دوم مربوط به تکنیک های استاتیک پایه ، فصل سوم تجزیه و تحلیل نرم افزارهای مخرب در ماشین های مجازی و فصل چهارم مفاهیم مقدماتی تجزیه و تحلیل دینامیکی ، تنظیم شده است.
مقدمه:
برای اولین بار در سال 1984 واژه ی ویروس در این معنی توسط فرد کوهن در متون آکادمیک مورد استفاده قرار گرفت. در این مقاله که آزمایشاتی با ویروس های کامپیوتری نام داشت ، نویسنده دسته ای خاص از برنامه ها را ویروس نامیده و این نامگذاری را به لئونارد آلمن نسبت داده است . البته قبل از این زمان ویروس در متن داستانهای علمی و تحلیلی ظاهر شده بود.
فصل اول : مفاهیم مقدماتی تجزیه و تحلیل بدافزارها توضیح داده شده است. در این فصل بدافزار تعریف شده و به انواع بد افزارها اشاره شده است. همچنین اهداف تجزیه و تحلیل بدافزارها و تکنینک های تجزیه و تحلیل نرم افزارهای مخرب و عملکرد هر کدام از انواع بدافزارها توضیح داده شده است.
فصل دوم : در فصل دوم به برسی راه های متعدد و قابل اجرا برای استخراج اطلاعات مفید می پردازیم. از ابزارات آنتی ویروس برای تایید آلودگی استفاده شده است. همچنین در این فصل می خواهیم از چندین ابزار برای نمایش توابع وارداتی اجرایی بحث داشته باشیم. در اواخر فصل دوم این پروژه ، درباره ی قراردادهای نامگذاری توابع بحث شده استو فایل های PE و PEview برسی شده است.
فصل سوم : بحث اصلی در فصل سوم این پروژه ، ایجاد یک محیط امن برای تجزیه وتحلیل بدافزارهای دینامیکی (پویا) می باشد. استفاده از ماشین های مجازی برای تجزیه و تحلیل نرم افزارهای مخرب ، ساختار یک ماشین مجازی ، آموزش نصب و آشنایی با نرم افزار VMware و مطرح کردن برخی جایگزین ها برای نرم افزار VMware سایر بحث های این فصل را تشکیل می دهند. آخرین بحث این فصل نیز مربوط به امکان ضبط و پخش می باشد که یکی از ویژگی های مهم VMware به حساب می آید.
فصل چهارم : در این فصل ، استفاده از یک بدافزار گودال ماسه بازی ، اشکالات گودال ماسه بازی ، فرآیند مانیتورینگ با مانیتور ، نمایش Procmon و سایر بحث های مربوط به مفاهیم مقدماتی تجزیه و تحلیل دینامیکی ، بحث شده است.
فهرست مطالب:
مقدمه
فصل اول : مفاهیم مقدماتی تجزیه و تحلیل بد افزارها
1-1 اهداف تجزیه و تحلیل بدافزارها
2-1 تکنیک های تجزیه و تحلیل بدافزارها
3-1 تجزیه و تحلیل استاتیک پایه
4-1 تجزیه و تحلیل دینامیک پایه
5-1 تجزیه و تحلیل استاتیک پیشرفته
6-1 تجزیه و تحلیل دینامیکی پیشرفته
7-1 انواع بدافزارها
1-7-1 درپشتی (Backdoor) 6
2-7-1 Botnet6
3-7-1 Downloader7
4-7-1 بدافزارهای سرقت اطلاعات (Information-stealing malware) 7
5-7-1 پرتاب کننده (Launcher) 7
6-7-1 Rootkit 7
7-7-1 Scareware 8
8-7-1 بدافزارهای ارسال کننده هرزنامه (Spam-Sending Malware)8
9-7-1 کرم یا ویروس (Worm or Virus)
8-1 قوانین عمومی برای تجزیه و تحلیل بدافزارها
فصل دوم : تکنیک های استاتیک پایه
1-2 جستجو با آنتی ویروس ها : اولین گام مفید
2-2 هش : یک اثر انگشت برای بدافزارها
3-2 پیدا کردن رشته ها
4-2 بدافزارهای بسته بندی شده و گیج کننده
5-2 بسته بندی فایل ها
6-2 تشخیص هکرها با PeiD
7-2 فرمت فایل نرم افزارهای اجرایی
8-2 پیوند کتابخانه ها و توابع
9-2 استاتیک ، زمان اجرا و پیوند پویا
10-2 برسی توابع متصل شده پویا با وابستگی والکر(Walker)
11-2 قراردادهای نامگذاری توابع
12-2 توابع وارداتی
13-2 توابع صادراتی
14-2 تجزیه و تحلیل استاتیک در عمل
15-2 یک اجرایی غیربسته : PotentialKeylogger.exe
16-2 PackedProgram.exe : یک بن بست
17-2 عناوین و بخش های فایل های PE
1-17-2 (.text)
2-17-2
(.rdata) 3-17-2 (.data)
4-17-2 (.rsrc)
18-2 برسی فایل های PE با Peview
19-2 مشاهده بخش منابع با برنامه Resource Hacker
20-2 استفاده از دیگر ابزارات فایل PE
21-2 خلاصه PE Header
22-2 نتیجه گیری
23-2 آزمایش ها
1-23-2 آزمایش 1
2-23-2 آزمایش 2
3-23-2 آزمایش 3
4-23-2 آزمایش 4
24-2 پاسخ کوتاه به سوالات
1-24-2 پاسخ کوتاه به سوالات آزمایش 1
2-24-2 پاسخ کوتاه به سوالات آزمایش 2
3-24-2 پاسخ کوتاه به سوالات آزمایش 3
4-24-2 پاسخ کوتاه به سوالات آزمایش 4
فصل سوم : تجزیه وتحلیل نرم افزارهای مخرب در ماشین های مجازی
1-3 ساختار یک ماشین مجازی
2-3 ساختن ماشین تجزیه و تحلیل بدافزار
3-3 پیکربندی VMware
4-3 قطع کردن شبکه
5-3 شبکه سازی فقط میزبان
6-3 استفاده از چندین ماشین مجازی
7-3 تجزیه و تحلیل نرم افزارهای مخرب با استفاده از ماشین خودتان
8-3 اتصال نرم افزارهای مخرب به اینترنت
9-3 اتصال و قطع اتصال دستگاه های جانبی
10-3 گرفتن عکس های فوری
11-3 خطرات ناشی از استفاده ی VMware برای تجزیه وتحلیل بدافزارها
12-3 ضبط و پخش
13-3 نتیجه گیری
فصل چهار : مقدمات تجزیه و تحلیل دینامیکی
1-4 گودل ماسه بازی: سریع و روش کثیف
2-4 استفاده از یک بدافزار گودال ماسه بازی
3-4 اشکالات گودال ماسه بازی
4-4 نرم افزارهای در حال اجرا
5-4 فرآیند مانیتورینگ با مانیتور
6-4 نمایش Procmon
7-4 فیلتر در Procmon
8-4 مشاهده فرآیندها با فرآیند اکسپلورر
9-4 فرآیند اکسپلورر نمایش 10-4 مقایسه ی رشته ها
منابع و ماخذ
منابع و مأخذ:
[ 1 ] کتاب Practical Malware Analysis نوشته ی Michael Sikorski و Anderw Honig
[ 2 ] http://www.malwareanalysisbook.com
[ 3 ] http://www.virustotal.com
[ 4 ] http://www.dependencywalker.com
[ 5 ] http://www.help.regiran.com
[ 6 ] http://www.angusj.com
[ 7 ] http://www.heaventools.com
پروژه کامپیوتر با بررسی تجزیه و تحلیل بدافزارها. doc