作者: kkc0828 (慢跑後衛) 看板: AntiVirus
標題: Re: [問題] 請問有人在收集惡意程式的嗎
時間: Sat Jan 2 23:58:10 2010
※ 引述《openkakamind (愛上雨天)》之銘言:
: 工作是要爭對某個類型的惡意程式做分析
: 可是因為是有指定類型的惡意程式 所以不好找
: 試過了幾種方式在網路上搜尋
: 不過大部分提到相關資訊都是如何移除
: 沒看到有註明中這些惡意程式的來源 更沒有sample
: 目前沒有好的方向
: 不知道有沒有人有好的idea 或是有收集的
: 可以幫忙協助一下嗎
: 謝謝你
哇哈哈哈哈哈,看來這種白痴事情一直都有人想要做阿...
我只能就幾年前的經歷稍稍分享一下囉~
1. 類型
你說的是spyware或是adware,表示都是被動型的惡意程式,
那 honeypot/honeylan對你來說就沒有用了。只能找苦主努力去點廣告...
2. 工讀生的工作
我頭一次看到有這麼有趣的工作,就是找個工讀生,努力想讓IE被綁架 XD
一開始蠻容易的,反正就是 "違背常理" ,越是危險的連結,點下去就是了!!
關鍵字 "free download movie mp3 crack cheat sex " blah~~~
當年 "罐C淫照" 蠻好用的,現在的話要找流行話題囉~
大概一兩天就有收穫。
3. 界定
有了幾個樣本之後,才知道麻煩出來了。
第一個麻煩,往往都是點了一堆網站才知道中毒,但是常常搞不清楚到底是哪個網站有毒!!
所以這時候 vmware/ghost就出動了。反正就是不停的 try-error ...
第二個麻煩,就是要很明確的界定惡意程式的行為、入侵方式(which exploit?)、惡意行為...
所以這時候 honeypot/sandbox/XXXX 就會被翻出來 ... 然後開始去追整個執行流程。
根據經驗法則,大部分的惡意網站都是"不專業"的人寫出來的。可以想像,國外的小鬼頭想要散布
廣告程式,於是把一堆可能成功的攻擊方式塞在一起,效率不是重點,能夠中毒就好。只是這樣要追
很辛苦。
第三個麻煩,惡意網站常常改!!
有時候昨天的惡意網站,今天點他變得完全正常!!! 愈哭無淚阿~~~我的sample飛了!!
接下來每次都會小心翼翼備份疑似惡意網站 ...
如果碰上 pro 的網站,會去分析瀏覽者行為,發現你在砍,馬上把你導到 404 ... Q_Q
4. 樣本
如果你懶得/不需要去抓real case,其實是可以嚐嚐所謂的病毒包。
只要不是摧毀型的病毒,多半都有廣告/遙控的功能。
例如說碰上幾個還active的 bot,呼~那就好玩了。
有空可以去玩玩看 transparent proxy, ircbot真有趣阿~~~
就這樣囉,加油~~~
要有效的把電腦搞掛也是種藝術。
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 114.44.5.23
→ miamodo:Honeynet.. 01/03 00:50
推 guteres:其實有時候source code還蠻好找的 01/03 01:24
沒有留言:
張貼留言
您好.本資料庫並非第一手資料.如果你有對文章作者的詢問,意見與需求,請自行找尋文章作者並提供意見,謝謝.