|
Labaratoriya ishi 3 Zararkunanda dasturlarning sodda dinamik tahlili Ishdan maqsad
|
| Sana | 16.02.2024 | | Hajmi | 0.86 Mb. | | #157739 |
Bog'liq Labaratoriya ishi 3 - Copy SAXRANIT, h65oznj9JCb8hTRjsT48dw, 6-Seminar mashg\'uloti, topish kk, 8, VI SINF, 1-Mavzu (Menejerning ishi), 5, kampyutr tarmoqlari 1 amaliy, kampyuter tarmoqlari 2-amaliy ish, 1-Мавзу.Таржима. Абдуллаев М.Х, tarix (5), 1711527731
Labaratoriya ishi 3
Zararkunanda dasturlarning sodda dinamik tahlili
Ishdan maqsad: Zararkunanda dasturlarni (ZD) sodda tahlili har doim ham muofaqqiyatli bo'lavermaydi. Ushbu labaratoriyaning bajarilishidan maqsad zararkunanda dasturlarning sodda dinamik tahlilini o'tkazish.
Nazariy
Zararkunanda dasturlar dinamik tahlili dabomida statik tahlil qilish vositalaridan ham foydalaniladi. Lab03-01.exe faylni tarkibidagi qatorlarni bilish uchun strings dasturidan fordalaniladi. Bu dastur orqali qaysi kurubxonalarga murojaat qilingani ham ko’rsatilib o’tilgan.
Bu zararkunanda dastur ishga rushurilganda tarmoqda qanday o’zgarishlar borligini ko’rish mumkin. Bunda bizga procmon dasturi yordam beradi.
Bu dastur orqali jarayonlarni ko’rish mumkin. Quyidagi rasmdan ko’rish mumkinki, zararkunanda dastur ishga tushishi bilan internetga bo’glanish sodir bo’lmoqda, brauzer ishga avtomatik tarzda ishga tushdi.
Shunday dastur ham borki u orqali registrda o’zgarishlarni taqqoslash mumkin. Bu dastur REGSHOT dasturidir. Bu dasturda tahlil qilish uchun avval 1st shot tugmasini bosamiz va registrda 1-holatni saqlab olamiz. So’ngra zarakunada dasturni ishga tushurib, 2nd shot tugmasini bosamiz va keying holatni saqlab olamiz. Oxirida Compare tugmasini bosamizda registrda o’zgarishlarni taqqoslaymiz. Quyidagi rasmdan ko’rinib turubdi-ki registrdan 15 ta o’zgarish kuzatilgan.
Lab03-02.dll faylni ishga tushurish uchun rundll32.exe, Install buyrugidan foydalanish kerak. Chunki bu fayl .dll kengatmasiga ega. Bunday fayllayni oddiy usulda ishga tushurib bo’lmaydi.
Lab03-02.dll faylni Process Explorer dasturini ishga tushurib fayl qanday nom ostida ishga tushganini aniqlash mumkin.
Fayl xususiyatlaridan Strings bo’limi orqali faylda qanday qatorlar yozilganini bilish mumkin. Fayl tarkibida o’zgargan qatorlarni ko’rish uchun oldingi fayl ishga tushmagan holdagi bilan solishtirish orqali zararkunanda dasturni aniqlash mumkin.
Ko`plab zararunanda dasturlar asosan tarmoq orqali ma’lumot yetkazish vazifasini bajaradi. Zararkunanda dastur ishga tushgach tarmoqdagi o`zgarishlarni aniqlash uchun maxsus ApateDNS dasturidan foydalanish mumkin.
Yuqoridagi rasmdan ko’rish mumkinki, Lab03-01.dll faylli ishga tushgach tarmoq orqali practicalmalwareanalysis.com server bilan ulanishga uringanini ko’rish mumkin.
Lab03-03.exe faylini regshot dasturi orqali tahlil qilinganida registrda 20dan ortiq o’zgarishga uchragani ma’lum bo’ldi.
Process Monitor dasturi orqali faylni qanday yashirin nom ostida ishga tushurilganini aniqlash mumkin.
Yana bu dasturni xususiyatlarini ko’rish orqali dinamik tahlil qilish mumkin. Dastur tarkibida o’zgarishlarni aniqlash orqali dastur zararkunanda ekanligini aniqlash mumkin.
Amaliy qism
Zararlovchi dasturning faylini o’qiymiz
Amaliyotni bajarishimiz uchun bizda remnux o’rnatilgan bo’lishi kerak.
Zararli dasturni yuklab olamiz.
Lab01-01.dll va Lab01-01.exe fayllarini ichini o’qiymiz.
Terminalga kirib zararli fayllar turgan joyga kiramiz (Download)
Lab01-01.dll faylini ichini ko’ramiz
Izoh :Buyerda ko’rishimiz mumkin virus kodlari va Ip adressni ko’rishimiz mumkin Bu zararli dastur shu Ip address bilan ma’lumot almashishi mumkin.
|
| |
