超级会员免费看
便携式动态恶意软件分析与基于投影的人员识别技术
1. 便携式动态恶意软件分析系统 VirMon
1.1 系统设计与组件功能
新一代动态恶意软件分析解决方案应能适应未来操作系统版本。VirMon 系统便是这样一个基于虚拟化的动态恶意软件分析系统,其分析机器组件主要包括迷你过滤驱动程序和驱动管理器,负责报告被分析文件在主机上的进程、注册表和文件系统活动。
- 进程监控 :通过内核回调机制,利用“PsSetCreateProcessNotifyRoutine”函数,迷你过滤驱动程序可监控运行进程的变化。
- 注册表监控 :许多恶意软件利用 Windows 注册表持久访问系统,“CmRegisterCallback”函数可在注册表事件发生时,为迷你过滤驱动程序提供相关信息。VirMon 会监控注册表的 OpenKey、CreateKey 等操作。
- 文件系统监控 :恶意软件会将自身或变体复制到文件系统的不同位置,并添加注册表项以在启动时自动运行。“FltRegisterFilter”函数及其回调操作可用于监控文件系统活动,VirMon 主要关注被跟踪进程的读、写和删除事件。
- 网络监控 :恶意软件常与 C&C 服务器通信,因此分析其网络活动至关重要。VirMon 使用 VLAN、VPN、IPDS 和防火墙等网络解决方案来监控可疑文件的网络活动。其中,IPDS 可监控网络流量和系统活动,Suricata 作为开源 IPDS 解决方案,能防止 DDoS 等恶意攻击,还可从实时网络流量中提取文件和 HTTP
订阅专栏 解锁全文
扫一扫
9
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
