搜搜吧

查看: 83|回复: 0

在Mac Linux上如何快速判断一个文件是否是恶意程序?[含8P]

[复制链接]
  • TA的每日心情
    擦汗
    昨天 13:40
  • 签到天数: 239 天

    [LV.7]常住居民III

    小学生

    2406

    主题

    2661

    帖子

    1万

    积分

    Rank: 3Rank: 3

    UID
    15343
    威望
    -143
    贡献
    800
    在线时间
    56 小时
    注册时间
    2015-10-12
    发表于 7 天前 | 显示全部楼层 |阅读模式

    熟悉Mac/Linux的用户经常会使用命令行,如果遇到系统异常,如CPU使用率暴涨等,经常会使用top命令去定位到底是哪个程序出现了异常。找到相关程序后,由于许多用户自身没有安全背景或者不大懂得逆向,便无法去分析程序到底做了什么,不敢枉然kill掉程序。又如果文件夹下面无故多了非自己创建的程序,这时也不敢枉然删除。针对这一情况,本文介绍几种小技巧,让你快速判断一个程序是否是恶意样本。

    wKiom1nc2WXSDEgtAAB0yl5aVh4022.jpg-wh_651x-s_204802866.jpg

    1.使用file命令快速识别文件类型  

    wKiom1nc2OrBqfR3AAAV7UrtCoM98.jpg

    如图使用file命令识别名为bashd的文件,从结果中可以看出这个文件为ELF 64位可执行文件,Linux 2.6.18内核平台下。以上信息边可判断这个文件是一个可执行文件,而从文件名bashd中可能第一个闪过脑中的概念即这个程序是bash的守护进程,那么到底是不是呢?我们接着分析。

    2. 使用xxd命令查看文件十六进制内容

    wKioL1ncadzA7O8YAADrWne81Jk33.jpg

    如图使用xxd命令可以显示文件的十六进制格式,从文件头的前几个字节可以看出这个文件是ELF格式的可执行文件。当然为了避免满屏的十六进制这里使用head命令值显示了头部十六进制。

    wKiom1nc2OrD7eWlAACTrSWMItk03.jpg

    如果你对这个可执行文件其他行为感兴趣,也可以入上图通过grep+字段来搜索你感兴趣的内容。如图,我们找到了socket.h和curl_socket,可以猜测这个程序可能有网络行为,而且使用用curl。

    3.使用strings命令快速识别文件大体功能

    strings命令,熟悉Mac/Linux的用户都知道该命令是在对象或二进制文件中查找可打印的字符串。字符串是4个或者更多可打印字符的任意序列,以换行符或空字符结束。恶意文件中经常包含可以显示这个程序行为的字符串,通过该命令,即可快速显示其文件可能包含的行为。

    wKiom1nc2OqBV_3tAABK2Jxo3A092.jpg

    如图,我们可以看见其字符串包含了curl几个API,说明程序由使用curl接口,也印证了我们上小节的判断。

    wKioL1ncadzwUx5lAACmLQWr8kM48.jpg

    当屏幕继续往下拉的时候,我们发现了其程序的帮助命令,从以上信息可以看出这个程序是一个挖矿程序,其版本号为cpuminer 2.3.3,编译时间为2017年7月12日。截止到这里我们基本可以判定这个程序是个恶意程序,主要功能是用来挖矿。如果你想继续深挖信息,可以通过Baidu等搜索平台搜索关键字cpuminer,可以找到该程序的源代码,这里贴出源码地址 https://github.com/pooler/cpuminer ,请大家不要作非法用途。

    4.使用readelf或greadelf命令继续深入挖掘文件信息

    当判断这个文件为ELF文件格式之后,我们便可以通过readelf或greadelf命令来查看文件更加详细的信息。这里以Mac平台的greadelf为例子。

    wKiom1nc2OqT_iBRAABgrTOfBKo36.jpg

    wKioL1ncad3ifYt5AACVG0fkKWA36.jpg

    如图通过greadelf -a bashd命令显示了该文件更加详细的信息,通过这些信息可以更加全面的认识该程序的功能。

    通过以上简简单单的四个Mac/Linux下的命令我们迅速判断一个文件的是否为恶意样本,并且还找到该恶意样本的源代码,成功将其kill掉。期间我们没有使用太多高级的技巧,也没使用逆向的相关知识,但却快速解决问题。当然如果程序使用了更多高级的技巧,以上命令并不能得到很多信息,还是需要更加深入的分析,其分析方法我们会在以后的文章介绍到。

    *本文作者:GeekOnline,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。


    楼主热帖排行榜
    搜搜吧社区温馨提示:
    1、在门户或论坛里发表的文章仅代表作者本人的观点,版权都归原作者版权所有与本网站搜搜吧立场无关。
    2、门户或论坛的所有内容都不保证准确性,有效性,真实性,时间性。阅读本站内容请自行核对发布者的真实性,本站不承担连带责任。
    3、注册会员通过任何手段和方法针对本站门户或论坛进行破坏,我们有权对其行为作出处理,并保留进一步追究其责任的权利。
    4、注册会员以及游客请遵守地方法律,请您在发表言论时注意您的言行举止,请勿发表低俗以及违反国家地方法律的文章,违者必将追究法律责任!
    5、请勿发表侮辱或者诽谤他人,侵害他人合法权益的、含有军事、色情、药品、赌博、走私、法律、行政法规禁止的其他内容的、违者直接上报公安!
    6、本站搜搜吧与全国各地公安机关网监部门以及工商管理部门共同监管,严厉打击禁止从事违法犯罪,损害国家利益的一切非法活动,全网站24小时监控!
    7、本站所有帖内以及门户发布的图片均来自互联网,图片设计版权都归原作者版权所有,图片都由发布者自行发布,本站不承担任何盗版的连带责任。
    8、本站所有的内容均来自互联网以及第三方作者自由发布、本站不承担任何的法律责任、若有侵权请来信告知,我们在收到举报后的一个工作日内立即删除、
    9、搜搜吧删帖,投诉,举报,侵权,账号解封唯一指定快速受理频道,请直接发送邮件到 admin@soso021.com 一个工作日内核实并邮件通知立即删除
    版权政策说明:
    搜搜吧(www.soso021.com)十分重视网络版权及其他知识产权的保护,针对网络侵权采取如下版权政策:
    1、本站有理由相信网友侵犯任何人的版权或作品,(图文,文字,下载,视频,非法传播),本站有权不事先通知即删除涉嫌侵权的作品和内容!
    2、本站将采取必要的网络技术手段,确认为侵权作品或内容的用户有权进行警告、屏蔽、删除的行为,尽可能的防止侵权行为的发生!
    3、如若您的作品或内容在搜搜吧被侵权,请及时联系我们并提供能证明版权所有的物品,我们将及时进行处理,给您造成不便,敬请谅解!
    soso搜搜吧社区是聚合百度搜索,搜狗搜索,360搜索,新闻,教育,站长,广告,娱乐,影视,微信,网盘,营销,手机,汽车,游戏,论坛等综合为一体的大型门户社区!
    Powered by soso021 X3.2© 2013-2017 搜搜吧社区 小黑屋|手机版|地图|苹果资讯网|搜搜天下事|滴滴打车|会计之家|seo博客|soso吧社区   
    《中华人民共和国工业和信息化部网站备案》沪ICP备16027893号-1  全国公安机关互联网站安全服务平台沪公网安备31010702002039号

    GMT+8, 2017-10-17 13:41 , Processed in 0.203097 second(s), 32 queries , Gzip On.

    快速回复 返回顶部 返回列表