加载中…构建属于自己的恶意软件特征库
(2015-02-27 11:30:02) 0x00
最近研究了一些开源的杀毒引擎,总结了一下利用ClamAV(www.clamav.net)来打造属于自己的恶意软件分析特征库。特征库主要包括HASH匹配、文件内容特征库、逻辑特征库、二进制特征码(SHELLCODE)、ASCII特征码。
0x01 ClamAV部署
1.
所有实验均在Kali Linux V1.0.9操作系统上。
2.
|
apt-get install clamav |
3.
其他环境请参考如下URL:
0x02 ClamAV恶意软件特征库
1.
特征库默认安装位置在/usr/lib/clamav/目录下,main.cvd即是主要特征库,daily.cvd则是每日增量式更新的特征码库。
http://s4/mw690/004gr0JOgy6QiIXPG0ze3&690
2.
|
root@kali:/var/lib/clamav# sigtool -u ./main.cvd |
http://s1/mw690/004gr0JOgy6QiIZpI6Q60&690
3.
|
后缀名称 |
包含内容 |
|
main.ndb |
十六进制特征码 |
|
main.mdb |
Windows PE恶意软件文件的MD5哈希值 |
|
main.hdb |
已知的恶意软件文件的MD5哈希值 |
0x03
http://s5/mw690/004gr0JOgy6QiJ2yVQE94&690
1.
a)
|
sigtool --md5 update.exe >test.hdb |
http://s11/mw690/004gr0JOgy6QiJ5rVDcba&690
b)
|
clamscan -d test.hdb update.exe |
http://s11/mw690/004gr0JOgy6QiJ6M3Roba&690
2.
a)
|
wget http://hexacorn.com/d/PESectionExtractor.pl |
b)
http://s11/mw690/004gr0JOgy6QiJ88K9A2a&690
c)
|
sigtool --mdb *.dat >pebase.mdb |
http://s9/mw690/004gr0JOgy6QiJbqNEk48&690
d)
|
clamscan -d pebase.mdb update.exe |
http://s1/mw690/004gr0JOgy6QiJcuYbC70&690
3.
a)
首先利用IDA PRO来查看恶意软件的特征码。
http://s8/mw690/004gr0JOgy6QiJfeIwT07&690
b)
http://s14/mw690/004gr0JOgy6QiJhJWuVed&690
c)
在构建特征库之前先看一下可扩展的特征码格式:
SigName:Target:Offset:Hex
|
字段 |
含义 |
|
SigName |
特征码唯一描述的名字 |
|
Target |
0(任意文件类型) 1(Windows PE可执行文件) 2(对象链接和嵌入OLE) 3(标准化的HTML) 4(Email文件) 5(图像文件) 6(Linux ELF文件) 7(标准化的ASCII文件) |
|
Offset |
文件中的偏移量 |
|
Hex |
十六进制匹配 |
下面我们构造特征码:
|
echo 'Malwareupdate:1:*:636d642e657865'>custom.ndb |
我们查杀一下:
http://s3/mw690/004gr0JOgy6QiJjBXEua2&690
0x04
http://infosec4breakfast.blogspot.com/2013/06/fun-with-clamav.html
https://github.com/vrtadmin/clamav-devel/raw/master/docs/signatures.pdf
文章来自:@cnbird2008
喜欢
0
赠金笔