7、恶意软件动态分析全解析

恶意软件动态分析全解析

1. 数据文件视角

CSV 文件按时间线对所有事件（进程、文件、注册表和网络活动）进行了排序。而文本文件和 CSV 文件能提供不同视角：
- 若对按类别划分的事件摘要感兴趣，可查看文本文件。
- 若关注事件发生的先后顺序，可查看 CSV 文件。

2. 使用 Wireshark 捕获网络流量

当恶意软件执行时，捕获其产生的网络流量有助于了解其通信渠道并确定基于网络的指标。Wireshark 是一款数据包嗅探器，可用于捕获网络流量。在 Linux VM 上调用 Wireshark 的操作步骤如下：
1. 运行命令 $ sudo wireshark 启动 Wireshark。
2. 点击 Capture | Options （或按 Ctrl + K ）。
3. 选择网络接口，然后点击 Start 开始捕获流量。

3. 使用 INetSim 模拟服务

多数恶意软件执行时会连接互联网（命令与控制服务器），但不应让其连接到实际的 C2 服务器，且有时这些服务器可能不可用。INetSim 是一款免费的基于 Linux 的软件套件，用于模拟标准互联网服务（如 DNS、HTTP/HTTPS 等）。在 Linux VM 上启动 INetSim 的操作步骤如下：

$ sudo inetsim

启动后，INetSim 会模拟各种服务，部分输出示例如下：