CN103491077A - 反弹木马控制端网络行为功能重建的方法及系统 - Google Patents
反弹木马控制端网络行为功能重建的方法及系统 Download PDFInfo
- Publication number
- CN103491077A CN103491077A CN201310408125.3A CN201310408125A CN103491077A CN 103491077 A CN103491077 A CN 103491077A CN 201310408125 A CN201310408125 A CN 201310408125A CN 103491077 A CN103491077 A CN 103491077A
- Authority
- CN
- China
- Prior art keywords
- wooden horse
- bounce
- control end
- back wooden
- network behavior
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种反弹木马控制端网络行为功能重建的方法及系统,所述系统包括:密盾反汇编分析模块,采用静态语义分析方法对反弹木马执行程序进行分析,形成完整的反弹木马汇编代码,并获取密码算法和密钥素材;密盾多路径分析模块,获取代码执行路径参数,分析和构造所有可能的路径并获取反弹木马执行过程中网络访问和网络函数调用的详细信息,并执行各路径;密盾木马控制端生成模块,根据生成的加密密钥、所述网络访问和网络函数调用的详细信息生成反弹木马控制端功能程序片段;模拟反弹木马控制端响应反弹木马请求,并完成加密数据验证,生成反映反弹木马控制端网络行为功能的报告。本发明可以安全有效重建反弹木马控制端网络行为的重要功能。
Description
技术领域
本发明涉及木马技术领域,特别是涉及木马的控制分析技术领域,具体为一种反弹木马控制端网络行为功能重建的方法及系统。
背景技术
反弹木马是驻留在用户计算机里的一段服务程序,而攻击者控制的则是相应的客户端程序。服务程序通过特定的端口,打开用户计算机的连接资源。一旦攻击者所掌握的客户端程序发出请求,反弹木马便和他连接起来,将用户的信息窃取出去。
反弹端口型木马分析了防火墙的特性后发现:防火墙对于连入的链接往往会进行非常严格的过滤,但是对于连出的链接却疏于防范。于是,与一般的木马相反,反弹端口型木马的服务端(被控制端)使用主动端口,客户端(控制端)使用被动端口,木马定时监测控制端的存在,发现控制端上线立即弹出端口主动连结控制端打开的主动端口,为了隐蔽起见,控制端的被动端口一般开在80,这样,即使用户使用端口扫描软件检查自己的端口,发现的也是类似TCP UserIP:1026ControllerIP:80ESTABLISHED的情况,稍微疏忽一点你就会以为是自己在浏览网页。(防火墙也会这么认为的,我想大概没有哪个防火墙会不给用户向外连接80端口吧,嘿嘿)看到这里,有人会问:那服务端怎么能知道控制端的IP地址呢?难道控制端只能使用固定的IP地址?
实际上,这种反弹端口的木马常常会采用固定IP的第三方存储设备来进行IP地址的传递。举一个简单的例子:事先约定好一个个人主页的空间,在其中放置一个文本文件,木马每分钟去GET一次这个文件,如果文件内容为空,就什么都不做,如果有内容就按照文本文件中的数据计算出控制端的IP和端口,反弹一个TCP链接回去,这样每次控制者上线只需要FTP一个INI文件就可以告诉木马自己的位置,为了保险起见,这个IP地址甚至可以经过一定的加密,除了服务和控制端,其他的人就算拿到了也没有任何的意义。对于一些能够分析报文、过滤TCP/UDP的防火墙,反弹端口型木马同样有办法对付,简单的来说,控制端使用80端口的木马完全可以真的使用HTTP协议,将传送的数据包含在HTTP的报文中,难道防火墙真的精明到可以分辨通过HTTP协议传送的究竟是网页还是控制命令和数据?一般使用反弹型木马,比如灰鸽子,你可以先申请一个免费主页空间,里面建立一个文件,然后配置灰鸽子读取里面的数据,你每次上线后修改这个文件,让他指向你的Ip,就可以了。
此外,现有分析反弹木马技术多采用蜜网蜜罐系统,对于特殊木马分析有较大风险。因为特殊木马是由专业技术人员开发、针对特定目标、完成特别用途的一种重要的技术手段,其使用是严格限定范围的,导致蜜网蜜罐系统一方面难以捕获,另一方面在其它位置捕获的样本在蜜网蜜罐系统内无法分析,甚至会自毁样本。
发明内容
鉴于以上所述现有技术的缺点,本发明的目的在于提供一种反弹木马控制端网络行为功能重建的方法及系统,用于解决现有技术中分析反弹木马程序时分析难度大、风险高的问题。
为实现上述目的及其他相关目的,本发明在一方面提供一种反弹木马控制端网络行为功能重建的方法,采用静态语义分析方法对反弹木马执行程序进行分析,形成完整的反弹木马汇编代码;运行完整的反弹木马汇编代码,获取代码执行路径参数,分析和构造所有可能的路径并在分析过程中获取反弹木马执行过程中网络访问和网络函数调用的详细信息;根据所述网络访问和网络函数调用的详细信息生成反弹木马控制端功能程序片段;分别执行各路径,在执行过程中若需要与控制端进行网络连接,根据所述反弹木马控制端功能程序片段模拟反弹木马控制端响应反弹木马请求;执行完所有路径之后,根据模拟的反弹木马控制端响应反弹木马请求生成反映反弹木马控制端网络行为功能的报告。
优选地,还包括根据所述反弹木马汇编代码分析获取反弹木马执行程序中的密码算法和密钥素材,依据所述密码算法和所述密钥素材选择密钥交换算法,生成加密密钥;根据所述生成的加密密钥、所述网络访问和网络函数调用的详细信息生成反弹木马控制端功能程序片段,在模拟反弹木马控制端响应反弹木马请求完成加密数据验证。
优选地,所述静态语义分析方法为:首选使用递归式反汇编算法得到程序汇编代码,再使用线性扫描算法分析遗留代码片段,形成完整的反弹木马汇编代码。
优选地,静态语义分析的内容包括根据代码指令特性、结构特性,还原代码流程和功能框图。
优选地,分析所有可能的路径过程中的操作包括:创建进程快照、约束关系,修改变量以及恢复进程快照,并标记各快照点,记录各快照点的相关信息;各快照点的相关信息至少包括约束关系、判断条件、指令内存地址。
优选地,在执行各路径过程中:当遍历到某快照点时,首先判断此快照点是否为已经遍历过的快照点,如果是,则不再对此快照点进行所述操作,按照实际路径继续执行,如果否,则对此快照点进行所述操作,并构造遍历此快照点对应的所有可能路径,分析其网络行为。
优选地,报告中反映的反弹木马控制端网络行为功能包括:名应答,建连响应及认证过程会话。
本发明在另外一方面提供一种反弹木马控制端网络行为功能重建的系统,包括:密盾反汇编分析模块,采用静态语义分析方法对反弹木马执行程序进行分析,形成完整的反弹木马汇编代码;密盾多路径分析模块,与密盾反汇编分析模块相连,运行完整的反弹木马汇编代码,获取代码执行路径参数,分析和构造所有可能的路径并在分析过程中获取反弹木马执行过程中网络访问和网络函数调用的详细信息,同时执行各路径;密盾木马控制端生成模块,与所述密盾多路径分析模块和密盾反汇编分析模块相连,根据所述网络访问和网络函数调用的详细信息生成反弹木马控制端功能程序片段;在密盾多路径分析模块执行过程中若需要与控制端进行网络连接,所述密盾木马控制端生成模块所述根据所述反弹木马控制端功能程序片段模拟反弹木马控制端响应反弹木马请求,并在执行完所有路径之后,所述密盾木马控制端生成模块根据模拟的反弹木马控制端响应反弹木马请求生成反映反弹木马控制端网络行为功能的报告。
优选地,密盾反汇编分析模块还根据所述反弹木马汇编代码分析获取反弹木马执行程序中的密码算法和密钥素材;所述密盾木马控制端生成模块依据所述密码算法和所述密钥素材选择密钥交换算法,生成加密密钥;根据所述生成的加密密钥、所述网络访问和网络函数调用的详细信息生成反弹木马控制端功能程序片段,在模拟反弹木马控制端响应反弹木马请求完成加密数据验证。
优选地,所述静态语义分析方法为:首选使用递归式反汇编算法得到程序汇编代码,再使用线性扫描算法分析遗留代码片段,形成完整的反弹木马汇编代码;静态语义分析的内容包括根据代码指令特性、结构特性,还原代码流程和功能框图。
优选地,分析所有可能的路径过程中的操作包括:创建进程快照、约束关系,修改变量以及恢复进程快照,并标记各快照点,记录各快照点的相关信息;在执行各路径过程中:当遍历到某快照点时,首先判断此快照点是否为已经遍历过的快照点,如果是,则不再对此快照点进行所述操作,按照实际路径继续执行,如果否,则对此快照点进行所述操作,并构造遍历此快照点对应的所有可能路径,分析其网络行为。
如上所述,本发明的一种反弹木马控制端网络行为功能重建的方法及系统,具有以下有益效果:
1、本发明可以有效重建反弹木马控制端网络行为的重要功能,可以分析反弹木马的工作流程,了解其功能、掌握对受害系统可能进行的破坏活动,为系统损失评估提供信息,掌握木马的漏洞利用技术、自启动技术、自保护技术等为防御和清除木马提供信息,为开发高效和实用的监测系统奠定坚实基础。
2、本发明采用静态语义分析方法,所以不需要真实执行木马可执行文件,因此可以分析不能运行的中间形式的二进制代码,由于无需实际执行代码,因此静态语义分析时木马不会危害系统安全,而且静态语义分析方法可以在木马文件执行前对代码的流程有个全局的掌握,不受具体进程执行流程的限制,可以对代码详尽的细粒度分析。
3、本发明可以降低被木马觉察反跟踪的可能性,有利于对木马进行完全的控制,防止木马程序自毁,而且可以获取执行的每条指令信息并方便快速标识。
4、通过分析反弹木马程序,可以掌握木马使用的新技术和新手段,学习其高超的计算机技术,澄清实现机理。
附图说明
图1显示为本发明的一种反弹木马控制端网络行为功能重建的方法的流程示意图。
图2显示为本发明的一种反弹木马控制端网络行为功能重建的方法的执行参考图。
图3显示为本发明的一种反弹木马控制端网络行为功能重建的系统的结构示意图。
元件标号说明
1 反弹木马控制端网络行为功能重建的系统
11 密盾反汇编分析模块
12 密盾多路径分析模块
13 密盾木马控制端生成模块
具体实施方式
以下通过特定的具体实例说明本发明的实施方式,本领域技术人员可由本说明书所揭露的内容轻易地了解本发明的其他优点与功效。本发明还可以通过另外不同的具体实施方式加以实施或应用,本说明书中的各项细节也可以基于不同观点与应用,在没有背离本发明的精神下进行各种修饰或改变。
本发明的目的在于提供一种反弹木马控制端网络行为功能重建的方法及系统,用于解决现有技术中分析反弹木马程序时分析难度大、风险高的问题。以下将详细阐述本发明的一种反弹木马控制端网络行为功能重建的方法及系统的原理及实施方式,使本领域技术人员不需要创造性劳动即可理解本发明的一种反弹木马控制端网络行为功能重建的方法及系统。
在反弹木马样本的分析过程中,经常仅掌握木马在被控主机的可执行程序,由于互联网分析存在安全隐患,因此不能在互联网络环境中执行分析,为了澄清木马的工作流程和网络行为特征,采用基于QEMU模拟器的多路径分析方法剖析木马程序,重构木马控制端的关键功能完成其网络行为分析和提取。
请参阅图1,显示为本发明的一种反弹木马控制端网络行为功能重建的方法的流程示意图。如图1所示,本发明提供一种反弹木马控制端网络行为功能重建的方法,以下详细说明本发明的方法。需要说明的是,若反弹木马在执行过程中没有密码控制的分部,相应删除对密钥的分析步骤即可,由于多数主控端都会采用密码的方式进行控制,所以本发明的实施例是以反弹木马执行中需要输入主控端的密码为例进行说明的。
首先,采用静态语义分析方法对反弹木马执行程序进行分析,形成完整的反弹木马汇编代码,并根据所述反弹木马汇编代码分析获取反弹木马执行程序中的密码算法和密钥素材。静态语义分析方法是本领域技术人员所熟知的,在此不再详细赘述。
具体地,在本实施例中,所述静态语义分析方法为:首选使用递归式反汇编算法得到程序汇编代码,再使用线性扫描算法分析遗留代码片段,形成完整的反弹木马汇编代码。其优点在于:
1)不需要真实执行木马可执行文件,因此可以分析不能运行的中间形式的二进制代码。
2)由于无需实际执行代码,因此静态语义分析时木马不会危害系统安全。
3)静态语义分析方法可以在木马文件执行前对代码的流程有个全局的掌握。
4)不受具体进程执行流程的限制,可以对代码详尽的细粒度分析。
静态语义分析的内容包括根据代码指令特性、结构特性,还原代码流程和功能框图。通过静态语义分析代码指令特性、结构特性,还原代码流程、功能框图,重点分析特殊木马样本的加密机制和加密算法,提取密码生成素材。
之后便可依据所述密码算法和所述密钥素材选择密钥交换算法,生成加密密钥。
接着,运行完整的反弹木马汇编代码,获取代码执行路径参数,分析和构造所有可能的路径并在分析过程中获取反弹木马执行过程中网络访问和网络函数调用的详细信息。
然后根据所述生成的加密密钥、所述网络访问和网络函数调用的详细信息生成反弹木马控制端功能程序片段。
在这里需要说明的是,反弹木马控制端功能程序片段是逐渐完善的,在获取到密码算法和所述密钥素材时,便可选择密钥交换算法,生成加密密钥生成反弹木马控制端功能程序片段。之后,通过不断获取的所述网络访问和网络函数调用的详细信息逐渐增加和完善反弹木马控制端功能程序片段。
分析所有可能的路径过程中的操作包括:创建进程快照、约束关系,修改变量以及恢复进程快照,并标记各快照点,记录各快照点的相关信息,其中,各快照点的相关信息至少包括约束关系、判断条件、指令内存地址。
在执行各路径过程中:当遍历到某快照点时,首先判断此快照点是否为已经遍历过的快照点,如果是,则不再对此快照点进行所述操作,按照实际路径继续执行,如果否,则对此快照点进行所述操作,并构造遍历此快照点对应的所有可能路径,分析其网络行为。
在造所有可能的路径之后,按一定的执行策略,分别执行各路径,在执行过程中若需要与控制端进行网络连接,根据所述反弹木马控制端功能程序片段模拟反弹木马控制端响应反弹木马请求,并完成加密数据验证,验证获取所述网络访问和网络函数调用的详细信息。执行完所有路径之后,根据模拟的反弹木马控制端响应反弹木马请求和加密数据验证生成反映反弹木马控制端网络行为功能的报告。
具体地,可以采用利用QEMU模拟器的多路径分析方法动态分析反弹木马的所有工作情况。基于QEMU模拟器的多路径分析方法动态分析使用标识已遍历节点和循环代码特殊处理模式,可以提高分析效率和代码覆盖率。其优点在于:1)可以降低被木马觉察反跟踪的可能性;2)有利于对木马进行完全的控制,防止木马程序自毁;3)可以获取执行的每条指令信息并方便快速标识。
采用基于污染数据传播理论构造程序的不同执行路径,在木马动态分析过程中自动遍历所有可能的执行路径,分析不同条件下木马的网络行为,可确保木马分析的全面性。在模拟器中加载木马的可执行文件,在分析过程中创建进程快照、约束关系以及修改变量、恢复进程快照等操作和标记各快照点(即遍历的节点),记录节点的相关信息(包括约束关系、判断条件、指令内存地址等)。在路径遍历过程中,当遍历到某节点时,首先判断此节点是否为已经遍历过的节点,如果是,则不在此处作创建快照等操作,按照实际路径继续执行;如果不是,则需要创建进程快照和约束系统等,并构造遍历此节点对应的所有可能路径,分析其网络行为。重复上述操作,直至覆盖程序中所有代码。
最后,综合分析此可执行文件相关的所有系统调用信息,包括调用的类型以及使用的参数等,重点获取反弹木马执行过程中网络访问和网络函数调用的详细信息。根据网络访问和网络函数调用信息自动辅之于手工生成木马控制端重要功能程序片段,模拟木马控制端响应木马请求,完成加密数据验证,便于分析木马后续工作模式,全面掌握木马的工作流程,生成一份完整详尽的分析报告,其中,报告中反映的反弹木马控制端网络行为功能包括:名应答,建连响应及认证过程会话。
本发明的一种反弹木马控制端网络行为功能重建的方法具体在执行时,可参考图2所示的流程。
首先采用静态语义分析方法,分析木马加密机制,提取密钥素材;此时,便可选择密钥交换算法,生成加密密钥生成反弹木马控制端功能程序片段。之后,运行完整的反弹木马汇编代码,分析木马执行路径信息,生成木马执行各路径的配置,即执行策略,一条条路径依次执行,由于在执行路径时会标记快照点,所以可以判断是否所有路径执行完毕,若全部执行路径执行完毕则结束,否则执行一条完整的路径,在执行一条路径的过程中,若需要和控制端进行网络连接,根据所述反弹木马控制端功能程序片段模拟反弹木马控制端响应反弹木马请求,并完成加密数据验证,验证获取所述网络访问和网络函数调用的详细信息。之后,继续沿着该路径继续执行,一旦需要和控制端进行网络连接,根据所述反弹木马控制端功能程序片段模拟反弹木马控制端响应反弹木马请求,并完成加密数据验证,验证获取所述网络访问和网络函数调用的详细信息,直到执行完该路径,获取执行该路径时的所述网络访问和网络函数调用的详细信息。若在执行路径中不需要网络连接,则直接获取该路径时的所述网络访问和网络函数调用的详细信息。
作为网络安全工作人员,分析特殊木马的工作流程、使用技术及其发展趋势,为开发高效和实用的监测系统奠定坚实基础,而且木马分析是网络应急响应、信息取证的基础。通过对大量的反弹木马就行分析,了解其功能、掌握对受害系统可能进行的破坏活动,为系统损失评估提供信息,掌握木马的漏洞利用技术、自启动技术、自保护技术等为防御和清除木马提供信息。通过分析特殊木马程序,还可以掌握木马使用的新技术和新手段,学习其高超的计算机技术,澄清实现机理。
为实现上述方法,本发明在另外一方面提供一种反弹木马控制端网络行为功能重建的系统,如图3所示,所述反弹木马控制端网络行为功能重建的系统1包括:密盾反汇编分析模块11、密盾多路径分析模块12和密盾木马控制端生成模块13。
所述密盾反汇编分析模块11采用静态语义分析方法对反弹木马执行程序进行分析,形成完整的反弹木马汇编代码,并根据所述反弹木马汇编代码分析获取反弹木马执行程序中的密码算法和密钥素材。
在这里,所述静态语义分析方法为:首选使用递归式反汇编算法得到程序汇编代码,再使用线性扫描算法分析遗留代码片段,形成完整的反弹木马汇编代码。
静态语义分析的内容包括根据代码指令特性、结构特性,还原代码流程和功能框图。通过静态语义分析代码指令特性、结构特性,还原代码流程、功能框图,重点分析特殊木马样本的加密机制和加密算法,提取密码生成素材。
所述密盾多路径分析模块12与密盾反汇编分析模块11相连,运行完整的反弹木马汇编代码的反弹木马程序,获取代码执行路径参数,分析和构造所有可能的路径并在分析过程中获取反弹木马执行过程中网络访问和网络函数调用的详细信息。
在造所有可能的路径之后,按一定的执行策略,分别执行各路径,在执行过程中若需要与控制端进行网络连接,根据所述反弹木马控制端功能程序片段模拟反弹木马控制端响应反弹木马请求,并完成加密数据验证;执行完所有路径之后,根据模拟的反弹木马控制端响应反弹木马请求和加密数据验证生成反映反弹木马控制端网络行为功能的报告。
分析所有可能的路径过程中的操作包括:创建进程快照、约束关系,修改变量以及恢复进程快照,并标记各快照点,记录各快照点的相关信息,其中,各快照点的相关信息至少包括约束关系、判断条件、指令内存地址。
在执行各路径过程中:当遍历到某快照点时,首先判断此快照点是否为已经遍历过的快照点,如果是,则不再对此快照点进行所述操作,按照实际路径继续执行,如果否,则对此快照点进行所述操作,并构造遍历此快照点对应的所有可能路径,分析其网络行为。
具体地,采用基于污染数据传播理论构造程序的不同执行路径,在木马动态分析过程中自动遍历所有可能的执行路径,分析不同条件下木马的网络行为,可确保木马分析的全面性。在模拟器中加载木马的可执行文件,在分析过程中创建进程快照、约束关系以及修改变量、恢复进程快照等操作和标记各快照点(即遍历的节点),记录节点的相关信息(包括约束关系、判断条件、指令内存地址等)。在路径遍历过程中,当遍历到某节点时,首先判断此节点是否为已经遍历过的节点,如果是,则不在此处作创建快照等操作,按照实际路径继续执行;如果不是,则需要创建进程快照和约束系统等,并构造遍历此节点对应的所有可能路径,分析其网络行为。重复上述操作,直至覆盖程序中所有代码。
最后,综合分析此可执行文件相关的所有系统调用信息,包括调用的类型以及使用的参数等,重点获取反弹木马执行过程中网络访问和网络函数调用的详细信息。
所述密盾木马控制端生成模块13与所述密盾多路径分析模块12和密盾反汇编分析模块11相连,根据所述生产的加密密钥、所述网络访问和网络函数调用的详细信息生成反弹木马控制端功能程序片段;在密盾多路径分析模块12执行过程中若需要与控制端进行网络连接,所述密盾木马控制端生成模块13所述根据所述反弹木马控制端功能程序片段模拟反弹木马控制端响应反弹木马请求,并完成加密数据验证,并在执行完所有路径之后,所述密盾木马控制端生成模块13根据模拟的反弹木马控制端响应反弹木马请求和加密数据验证生成反映反弹木马控制端网络行为功能的报告。
也就是说在所述密盾木马控制端生成模块13中,根据网络访问和网络函数调用信息自动辅之于手工生成木马控制端重要功能程序片段,模拟木马控制端响应木马请求,完成加密数据验证,便于分析木马后续工作模式,全面掌握木马的工作流程,生成一份完整详尽的分析报告,其中,报告中反映的反弹木马控制端网络行为功能包括:名应答,建连响应及认证过程会话。
在所述密盾木马控制端生成模块13中,根据所述生成的加密密钥、所述网络访问和网络函数调用的详细信息生成反弹木马控制端功能程序片段。在这里需要说明的是,反弹木马控制端功能程序片段是逐渐完善的,在获取到密码算法和所述密钥素材时,便可选择密钥交换算法,生成加密密钥生成反弹木马控制端功能程序片段。之后,通过不断获取的所述网络访问和网络函数调用的详细信息逐渐增加和完善反弹木马控制端功能程序片段。
具体实施时,可在Redhat6.3系统上安装QEMU模拟器,模拟X86的CPU个数为32个,模拟网卡为Intel-82576芯片组的“本地连接”;安装由密盾多路径分析模块12构成的软件,安装由密盾木马控制端生成模块13构成的软件,安装由密盾反汇编分析模块11构成的静态语义分析软件。
将木马执行程序在密盾多路径分析模块12运行,工程师参与调试分析获取密码算法和密钥素材,分析信息自动导入密盾木马控制端生成模块13,选择密钥交换算法,生成加密密钥。
在密盾多路径分析模块12运行木马程序,获取代码执行路径参数,生成执行策略,当需要网络连接时,系统会暂停,待工程师将网络连接参数输入到密盾木马控制端生成模块13后,执行启动网络服务监听程序;继续执行密盾多路径分析模块12,完成所有分析后,选择“生成报告”,系统产生分析报告。
综上所述,本发明的一种反弹木马控制端网络行为功能重建的方法及系统,达到了以下有益效果:
1、本发明可以分析反弹木马的工作流程,了解其功能、掌握对受害系统可能进行的破坏活动,为系统损失评估提供信息,掌握木马的漏洞利用技术、自启动技术、自保护技术等为防御和清除木马提供信息,为开发高效和实用的监测系统奠定坚实基础。
2、本发明采用静态语义分析方法,所以不需要真实执行木马可执行文件,因此可以分析不能运行的中间形式的二进制代码,由于无需实际执行代码,因此静态语义分析时木马不会危害系统安全,而且静态语义分析方法可以在木马文件执行前对代码的流程有个全局的掌握,不受具体进程执行流程的限制,可以对代码详尽的细粒度分析。
3、本发明可以降低被木马觉察反跟踪的可能性,有利于对木马进行完全的控制,防止木马程序自毁,而且可以获取执行的每条指令信息并方便快速标识。
4、通过分析反弹木马程序,可以掌握木马使用的新技术和新手段,学习其高超的计算机技术,澄清实现机理。
所以,本发明有效克服了现有技术中的种种缺点而具高度产业利用价值。
上述实施例仅例示性说明本发明的原理及其功效,而非用于限制本发明。任何熟悉此技术的人士皆可在不违背本发明的精神及范畴下,对上述实施例进行修饰或改变。因此,举凡所属技术领域中具有通常知识者在未脱离本发明所揭示的精神与技术思想下所完成的一切等效修饰或改变,仍应由本发明的权利要求所涵盖。
Claims (11)
1.一种反弹木马控制端网络行为功能重建的方法,其特征在于,包括:
采用静态语义分析方法对反弹木马执行程序进行分析,形成完整的反弹木马汇编代码;
运行完整的反弹木马汇编代码,获取代码执行路径参数,分析和构造所有可能的路径并在分析过程中获取反弹木马执行过程中网络访问和网络函数调用的详细信息;
根据所述网络访问和网络函数调用的详细信息生成反弹木马控制端功能程序片段;
分别执行各路径,在执行过程中若需要与控制端进行网络连接,根据所述反弹木马控制端功能程序片段模拟反弹木马控制端响应反弹木马请求;
执行完所有路径之后,根据模拟的反弹木马控制端响应反弹木马请求生成反映反弹木马控制端网络行为功能的报告。
2.根据权利要求1所述的反弹木马控制端网络行为功能重建的方法,其特征在于,还包括根据所述反弹木马汇编代码分析获取反弹木马执行程序中的密码算法和密钥素材,依据所述密码算法和所述密钥素材选择密钥交换算法,生成加密密钥;根据所述生成的加密密钥、所述网络访问和网络函数调用的详细信息生成反弹木马控制端功能程序片段,在模拟反弹木马控制端响应反弹木马请求完成加密数据验证。
3.根据权利要求1所述的反弹木马控制端网络行为功能重建的方法,其特征在于,所述静态语义分析方法为:首选使用递归式反汇编算法得到程序汇编代码,再使用线性扫描算法分析遗留代码片段,形成完整的反弹木马汇编代码。
4.根据权利要求1所述的反弹木马控制端网络行为功能重建的方法,其特征在于,静态语义分析的内容包括根据代码指令特性、结构特性,还原代码流程和功能框图。
5.根据权利要求1所述的反弹木马控制端网络行为功能重建的方法,其特征在于,分析所有可能的路径过程中的操作包括:创建进程快照、约束关系,修改变量以及恢复进程快照,并标记各快照点,记录各快照点的相关信息;各快照点的相关信息至少包括约束关系、判断条件、指令内存地址。
6.根据权利要求5所述的反弹木马控制端网络行为功能重建的方法,其特征在于,在执行各路径过程中:
当遍历到某快照点时,首先判断此快照点是否为已经遍历过的快照点,如果是,则不再对此快照点进行所述操作,按照实际路径继续执行,如果否,则对此快照点进行所述操作,并构造遍历此快照点对应的所有可能路径,分析其网络行为。
7.根据权利要求1所述的反弹木马控制端网络行为功能重建的方法,其特征在于,报告中反映的反弹木马控制端网络行为功能包括:名应答,建连响应及认证过程会话。
8.一种反弹木马控制端网络行为功能重建的系统,其特征在于,包括:
密盾反汇编分析模块,采用静态语义分析方法对反弹木马执行程序进行分析,形成完整的反弹木马汇编代码;
密盾多路径分析模块,与密盾反汇编分析模块相连,运行完整的反弹木马汇编代码,获取代码执行路径参数,分析和构造所有可能的路径并在分析过程中获取反弹木马执行过程中网络访问和网络函数调用的详细信息,同时执行各路径;
密盾木马控制端生成模块,与所述密盾多路径分析模块和密盾反汇编分析模块相连,根据所述网络访问和网络函数调用的详细信息生成反弹木马控制端功能程序片段;在密盾多路径分析模块执行过程中若需要与控制端进行网络连接,所述密盾木马控制端生成模块所述根据所述反弹木马控制端功能程序片段模拟反弹木马控制端响应反弹木马请求,并在执行完所有路径之后,所述密盾木马控制端生成模块根据模拟的反弹木马控制端响应反弹木马请求生成反映反弹木马控制端网络行为功能的报告。
9.根据权利要求8所述的反弹木马控制端网络行为功能重建的系统,其特征在于,密盾反汇编分析模块还根据所述反弹木马汇编代码分析获取反弹木马执行程序中的密码算法和密钥素材;所述密盾木马控制端生成模块依据所述密码算法和所述密钥素材选择密钥交换算法,生成加密密钥;根据所述生成的加密密钥、所述网络访问和网络函数调用的详细信息生成反弹木马控制端功能程序片段,在模拟反弹木马控制端响应反弹木马请求完成加密数据验证。
10.根据权利要求8所述的反弹木马控制端网络行为功能重建的系统,其特征在于,所述静态语义分析方法为:首选使用递归式反汇编算法得到程序汇编代码,再使用线性扫描算法分析遗留代码片段,形成完整的反弹木马汇编代码;静态语义分析的内容包括根据代码指令特性、结构特性,还原代码流程和功能框图。
11.根据权利要求8所述的反弹木马控制端网络行为功能重建的系统,其特征在于,分析所有可能的路径过程中的操作包括:创建进程快照、约束关系,修改变量以及恢复进程快照,并标记各快照点,记录各快照点的相关信息;
在执行各路径过程中:当遍历到某快照点时,首先判断此快照点是否为已经遍历过的快照点,如果是,则不再对此快照点进行所述操作,按照实际路径继续执行,如果否,则对此快照点进行所述操作,并构造遍历此快照点对应的所有可能路径,分析其网络行为。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310408125.3A CN103491077B (zh) | 2013-09-09 | 2013-09-09 | 反弹木马控制端网络行为功能重建的方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310408125.3A CN103491077B (zh) | 2013-09-09 | 2013-09-09 | 反弹木马控制端网络行为功能重建的方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103491077A true CN103491077A (zh) | 2014-01-01 |
| CN103491077B CN103491077B (zh) | 2016-08-10 |
Family
ID=49831036
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310408125.3A Expired - Fee Related CN103491077B (zh) | 2013-09-09 | 2013-09-09 | 反弹木马控制端网络行为功能重建的方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103491077B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104869170A (zh) * | 2015-05-29 | 2015-08-26 | 四川效率源信息安全技术有限责任公司 | 针对uc浏览器加密数据文件的解密方法 |
| CN109379341A (zh) * | 2018-09-21 | 2019-02-22 | 国网湖南省电力有限公司 | 一种基于行为分析的反弹型远控木马网络流量检测方法 |
| CN110381009A (zh) * | 2018-04-16 | 2019-10-25 | 北京升鑫网络科技有限公司 | 一种基于行为检测的反弹shell的检测方法 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103051627A (zh) * | 2012-12-21 | 2013-04-17 | 公安部第一研究所 | 一种反弹式木马的检测方法 |
| CN103095714A (zh) * | 2013-01-25 | 2013-05-08 | 四川神琥科技有限公司 | 一种基于木马病毒种类分类建模的木马检测方法 |
-
2013
- 2013-09-09 CN CN201310408125.3A patent/CN103491077B/zh not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103051627A (zh) * | 2012-12-21 | 2013-04-17 | 公安部第一研究所 | 一种反弹式木马的检测方法 |
| CN103095714A (zh) * | 2013-01-25 | 2013-05-08 | 四川神琥科技有限公司 | 一种基于木马病毒种类分类建模的木马检测方法 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104869170A (zh) * | 2015-05-29 | 2015-08-26 | 四川效率源信息安全技术有限责任公司 | 针对uc浏览器加密数据文件的解密方法 |
| CN104869170B (zh) * | 2015-05-29 | 2018-11-13 | 四川效率源信息安全技术股份有限公司 | 针对uc浏览器加密数据文件的解密方法 |
| CN110381009A (zh) * | 2018-04-16 | 2019-10-25 | 北京升鑫网络科技有限公司 | 一种基于行为检测的反弹shell的检测方法 |
| CN109379341A (zh) * | 2018-09-21 | 2019-02-22 | 国网湖南省电力有限公司 | 一种基于行为分析的反弹型远控木马网络流量检测方法 |
| CN109379341B (zh) * | 2018-09-21 | 2022-02-01 | 国网湖南省电力有限公司 | 一种基于行为分析的反弹型远控木马网络流量检测方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103491077B (zh) | 2016-08-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Alexander et al. | MITRE ATT&CK for industrial control systems: Design and philosophy | |
| Chhetri et al. | Manufacturing supply chain and product lifecycle security in the era of industry 4.0 | |
| Alves et al. | OpenPLC: An IEC 61,131–3 compliant open source industrial controller for cyber security research | |
| CN106561025B (zh) | 用于提供计算机网络安全的系统和方法 | |
| US11637866B2 (en) | System and method for the secure evaluation of cyber detection products | |
| EP3987728B1 (en) | Dynamically controlling access to linked content in electronic communications | |
| CN105827406A (zh) | 一种身份验证方法、装置和系统 | |
| CN105577720B (zh) | 移动应用打包的方法及系统 | |
| CN103491077A (zh) | 反弹木马控制端网络行为功能重建的方法及系统 | |
| Kumar et al. | Challenges within the industry 4.0 setup | |
| Akbarzadeh et al. | Dependency-based security risk assessment for cyber-physical systems | |
| Rani et al. | Artificial intelligence for cybersecurity: Recent advancements, challenges and opportunities | |
| CN111245800B (zh) | 网络安全测试方法和装置、存储介质、电子装置 | |
| Rehman et al. | Security of Web Application: State of the Art: Research Theories and Industrial Practices | |
| Zenah et al. | Secure coding in software development | |
| Jekov et al. | Intelligent protection of Internet of things systems | |
| Aarthi | Using Users Profiling to Identifying an Attacks | |
| Feng et al. | Investigating big data healthcare security issues with Raspberry Pi | |
| Maksuti | Autonomic Management of System of Systems Security | |
| Amro | Mobile agent systems, recent security threats and counter measures | |
| Buczkowski et al. | Optimal security hardening over a probabilistic attack graph | |
| KR20200075407A (ko) | 원자력발전소 사이버 취약성 시험을 위한 가상 물리 시스템 및 그 방법 | |
| Cabaj | Visualization as support for web honeypot data analysis | |
| Karnouskos | Industrial agents cybersecurity | |
| Dong et al. | ‘Establishing common input scenarios for security assessment |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20160810 Termination date: 20190909 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |