Day-255-恶意代码静态分析技术

# Day 276: 恶意代码静态分析技术

> 应急响应系列第 16 天 | 预计阅读时间：35 分钟 | 难度：★★★★★

---

## 清单 目录

1. [静态分析概述](#静态分析概述)
2. [文件类型识别](#文件类型识别)
3. [字符串分析](#字符串分析)
4. [PE 文件分析](#pe 文件分析)
5. [反汇编基础](#反汇编基础)
6. [代码特征分析](#代码特征分析)
7. [YARA 规则编写](#yara 规则编写)
8. [总结与思考](#总结与思考)
9. [参考资料](#参考资料)

---

## 静态分析概述

### 什么是静态分析

**静态分析（Static Analysis）** 是在不执行恶意代码的情况下，通过分析代码结构、字符串、资源等特征来理解恶意代码行为的方法。

### 静态分析 vs 动态分析

| 维度 | 静态分析 | 动态分析 |
|------|----------|----------|
| **执行代码** | 不执行 | 执行 |
| **安全性** | 高 | 中（需要隔离环境） |
| **发现内容** | 潜在能力 | 实际行为 |
| **反分析对抗** | 可绕过混淆 | 可检测反虚拟机 |
| **分析深度** | 深入代码逻辑 | 观察运行时行为 |
| **工具要求** | 反汇编器、编辑器 | 沙箱、监控工具 |

### 静态分析价值

| 价值 | 说明 |
|------|------|
| **安全** | 不执行代码，无感染风险 |
| **快速** | 初步筛查，快速分类 |
| **深入** | 理解代码逻辑和意图 |
| **可自动化** | 适合批量分析 |
| **法律安全** | 不涉及实际攻击行为 |

### 静态分析流程

```
┌─────────────────────────────────────────────────────────────┐
│                    静态分析流程                              │
│                                                             │
│  样本获取 ──→ 类型识别 ──→ 字符串提取 ──→ 结构分析        │
│     │            │            │              │              │
│     ▼            ▼            ▼              ▼              │
│  安全存储     文件头       可疑字符串     PE/ELF 解析      │
│  哈希计算     魔数         IOC 提取       节区分析         │
│                                                             │
│  反汇编 ──→ 代码分析 ──→ 特征提取 ──→ 报告生成            │
│     │            │            │              │              │
│     ▼            ▼            ▼              ▼              │
│  IDA/Ghidra   函数识别    YARA 规则      分析结论          │
│  控制流       API 调用     家族特征       威胁评估          │
└─────────────────────────────────────────────────────────────┘
```

---

## 文件类型识别

### 文件类型识别方法

#### 魔数（Magic Number）

**定义**：文件开头的特定字节序列，标识文件类型

**常见魔数**：

| 文件类型 | 魔数（Hex） | 说明 |
|----------|-------------|------|
| **PE (exe/dll)** | 4D 5A | MZ 头 |
| **ELF** | 7F 45 4C 46 | .ELF |
| **PDF** | 25 50 44 46 | %PDF |
| **ZIP** | 50 4B 03 04 | PK.. |
| **RAR** | 52 61 72 21 | Rar! |
| **GZIP** | 1F 8B | - |
| **PNG** | 89 50 4E 47 | .PNG |
| **JPEG** | FF D8 FF | - |

**检测命令**：
```bash
# Linux file 命令
file malware.exe
# 输出：PE32 executable (console) Intel 80386, for MS Windows

# hexdump 查看文件头
hexdump -C malware.exe | head -5
```

#### 文件扩展名验证

```bash
# 扩展名与实际类型不匹配检测
# 场景：恶意软件伪装成文档

# Python 示例
import magic

def verify_file_type(filepath):
    mime = magic.from_file(filepath, mime=True)
    ext = filepath.split('.')[-1]
    
    # 验证扩展名与 MIME 类型是否匹配
    if ext == 'pdf' and mime != 'application/pdf':
        print(f"警告：文件类型不匹配！实际类型：{mime}")
```

### 多层文件分析

#### 压缩包分析

```bash
# 查看压缩包内容
unzip -l archive.zip
7z l archive.7z

# 不解压分析
unzip -p archive.zip malicious.exe | file -

# 批量提取
unzip archive.zip -d output/
```

#### 嵌套文件

```
分析流程：
1. 识别外层文件类型
2. 提取内层文件
3. 递归分析
4. 构建文件树

工具：
- 7-Zip
- Universal Extractor
- peels (Python)
```

---

## 字符串分析

### 字符串提取

#### 工具使用

```bash
# FLOSS（FireEye 高级字符串提取）
floss malware.exe > strings_floss.txt

# strings（Linux 工具）
strings -n 4 malware.exe > strings_basic.txt

# 提取 Unicode 字符串
strings -e l malware.exe > strings_unicode.txt

# 提取特定长度字符串
strings -n 8 malware.exe > strings_long.txt
```

#### 字符串分类

| 类型 | 示例 | 取证价值 |
|------|------|----------|
| **文件路径** | C:\Windows\System32 | 目标位置 |
| **URL/域名** | http://evil.com/payload.exe | C2 服务器 |
| **IP 地址** | 192.168.1.100 | 网络目标 |
| **注册表** | HKLM\Software\Microsoft | 持久化位置 |
| **API 名称** | CreateProcess, VirtualAlloc | 功能推断 |
| **错误信息** | "File not found" | 程序逻辑 |
| **凭证** | password, admin | 目标信息 |

### 可疑字符串检测

#### IOC 字符串

```bash
# 检测 URL
grep -oE "https?://[a-zA-Z0-9./]+" strings.txt

# 检测 IP 地址
grep -oE "\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}" strings.txt

# 检测域名
grep -oE "[a-zA-Z0-9-]+\.[a-zA-Z]{2,}" strings.txt

# 检测邮箱
grep -oE "[a-zA-Z0-9._%+-]+@[a-zA-Z0-9.-]+\.[a-zA-Z]{2,}" strings.txt
```

#### 恶意功能字符串

```
可疑字符串列表：
- cmd.exe /c
- powershell -enc
- schtasks /create
- reg add
- net user
- mimikatz
- kerberos
- lsass
- CreateRemoteThread
- VirtualAllocEx
- WriteProcessMemory
```

#### 编码字符串检测

```bash
# Base64 编码检测
# 特征：长字符串，包含 A-Za-z0-9+/=
grep -oE "[A-Za-z0-9+/]{50,}={0,2}" strings.txt

# Hex 编码检测
# 特征：长串 hex 字符
grep -oE "[0-9a-fA-F]{50,}" strings.txt
```

### 字符串解码

#### 常见编码识别

| 编码 | 特征 | 解码方法 |
|------|------|----------|
| **Base64** | A-Za-z0-9+/= | base64 -d |
| **Hex** | 0-9a-fA-F | xxd -r -p |
| **URL 编码** | %XX 格式 | urldecode |
| **ROT13** | 字母移位 13 | tr 'A-Za-z' 'N-ZA-Mn-za-m' |

#### 自定义解码

```python
# XOR 解码示例
def xor_decode(data, key):
    return bytes([b ^ key for b in data])

# 尝试常见 XOR 密钥
with open('encoded.bin', 'rb') as f:
    data = f.read()

for key in range(256):
    decoded = xor_decode(data, key)
    if b'MZ' in decoded or b'PK' in decoded:
        print(f"找到密钥：{key}")
        break
```

---

## PE 文件分析

### PE 文件结构

```
┌─────────────────────────────────────────────────────────────┐
│                    PE 文件结构                               │
│                                                             │
│  ┌─────────────────┐                                        │
│  │   DOS Header    │  MZ 头，指向 PE 头                     │
│  ├─────────────────┤                                        │
│  │   DOS Stub      │  小程序"此程序不能在 DOS 模式下运行"    │
│  ├─────────────────┤                                        │
│  │   PE Header     │  PE 签名 + COFF 头 + 可选头            │
│  ├─────────────────┤                                        │
│  │ Section Headers │  节区表                                │
│  ├─────────────────┤                                        │
│  │   .text         │  代码节                                │
│  │   .data         │  数据节                                │
│  │   .rdata        │  只读数据                              │
│  │   .rsrc         │  资源                                  │
│  │   .reloc        │  重定位                                │
│  └─────────────────┘                                        │
└─────────────────────────────────────────────────────────────┘
```

### PE 分析工具

#### PE-bear

**功能**：
- 可视化 PE 结构
- 检测异常
- 节区分析

**使用**：
```
1. 打开 PE-bear
2. 加载恶意软件样本
3. 查看各字段
4. 检测红色标记的异常
```

#### Detect It Easy (DiE)

```bash
# 检测编译器、打包器、加密
die malware.exe

# 输出示例：
PE32 executable
Compiler: Microsoft Visual C/C++
Linker: Microsoft Linker
Packer: UPX v3.96
```

#### pefile (Python)

```python
import pefile

pe = pefile.PE('malware.exe')

# 基本信息
print(f"Entry Point: {hex(pe.OPTIONAL_HEADER.AddressOfEntryPoint)}")
print(f"Image Base: {hex(pe.OPTIONAL_HEADER.ImageBase)}")

# 导入表
for import_entry in pe.DIRECTORY_ENTRY_IMPORT:
    print(f"DLL: {import_entry.dll.decode()}")
    for func in import_entry.imports:
        print(f"  - {func.name.decode() if func.name else hex(func.ordinal)}")

# 导出表
if hasattr(pe, 'DIRECTORY_ENTRY_EXPORT'):
    for export in pe.DIRECTORY_ENTRY_EXPORT.symbols:
        print(f"Export: {export.name.decode()}")
```

### 可疑 PE 特征

| 特征 | 说明 | 检测意义 |
|------|------|----------|
| **入口点异常** | EP 不在.text 节 | 可能加壳或注入 |
| **节区名称异常** | 随机名称、非常规名称 | 可疑 |
| **节区大小异常** | 节区大小与声明不符 | 可能隐藏数据 |
| **导入表异常** | 大量敏感 API | 恶意功能 |
| **资源异常** | 大资源、可执行资源 | 可能包含 payload |
| **重定位缺失** | 无.reloc 节 | 可能为 DLL 或有问题 |
| **时间戳异常** | 时间戳为 0 或未来时间 | 可疑 |

### 导入表分析

#### 敏感 API 分类

| API 类别 | 示例 API | 可能用途 |
|----------|----------|----------|
| **进程操作** | CreateProcess, OpenProcess | 进程注入 |
| **内存操作** | VirtualAlloc, WriteProcessMemory | 代码注入 |
| **线程操作** | CreateRemoteThread | 远程执行 |
| **文件操作** | CreateFile, WriteFile | 文件投放 |
| **注册表** | RegSetValueEx | 持久化 |
| **网络** | socket, connect, HTTPSendRequest | C2 通信 |
| **加密** | CryptEncrypt, CryptDecrypt | 数据加密 |
| **凭证** | CredEnumerate, SamIConnect | 凭证窃取 |

#### 导入表分析脚本

```python
# 检测敏感 API
suspicious_apis = [
    'VirtualAlloc', 'VirtualAllocEx', 'VirtualProtect',
    'CreateRemoteThread', 'WriteProcessMemory',
    'CreateProcess', 'ShellExecute', 'WinExec',
    'RegSetValueEx', 'CreateService',
    'InternetOpen', 'HttpSendRequest', 'URLDownloadToFile',
    'CryptEncrypt', 'CryptDecrypt',
    'CredEnumerate', 'SamIConnect'
]

for import_entry in pe.DIRECTORY_ENTRY_IMPORT:
    for func in import_entry.imports:
        if func.name and func.name.decode() in suspicious_apis:
            print(f"发现敏感 API: {import_entry.dll.decode()}!{func.name.decode()}")
```

---

## 反汇编基础

### 反汇编工具

#### IDA Pro

**特点**：
- 业界标准
- 强大反汇编
- 图形化控制流
- 插件丰富

**基本使用**：
```
1. 打开样本
2. 选择处理器类型（通常 Auto）
3. 等待分析完成
4. 查看 Functions 窗口
5. 双击函数查看反汇编
6. 按 F5 查看伪代码
```

#### Ghidra

**特点**：
- NSA 开源
- 免费
- 功能接近 IDA
- 支持多平台

**基本使用**：
```bash
# 启动 Ghidra
./ghidraRun

# 导入项目
File → New Project
File → Import File

# 分析
Double-click 文件 → Analyze → OK
```

#### radare2

**特点**：
- 开源命令行
- 脚本友好
- 轻量级

**基本命令**：
```bash
# 打开文件
r2 malware.exe

# 分析
aaa  # 分析全部
afl  # 列出函数

# 查看入口
s entry0
pd 20  # 反汇编 20 行

# 查找字符串
/str http
iz  # 打印字符串

# 退出
q
```

### 汇编基础

#### 常见指令

| 指令 | 说明 | 示例 |
|------|------|------|
| **MOV** | 数据传送 | MOV EAX, EBX |
| **PUSH/POP** | 入栈/出栈 | PUSH EAX |
| **CALL** | 调用函数 | CALL function |
| **RET** | 函数返回 | RET |
| **JMP** | 无条件跳转 | JMP label |
| **JE/JNE** | 条件跳转 | JE label |
| **CMP** | 比较 | CMP EAX, 0 |
| **XOR** | 异或 | XOR EAX, EAX |
| **ADD/SUB** | 加减 | ADD EAX, 1 |

#### 函数识别

```
函数典型结构：

push ebp        ; 保存基址指针
mov ebp, esp    ; 设置新基址
sub esp, X      ; 分配栈空间
...             ; 函数体
mov esp, ebp    ; 恢复栈
pop ebp         ; 恢复基址
ret             ; 返回
```

### 控制流分析

#### 控制流图

```
IDA/Ghidra 中查看：
- 绿色线：条件为真时的跳转
- 红色线：条件为假时的跳转
- 蓝色线：无条件跳转

分析要点：
- 识别循环
- 识别条件分支
- 识别函数调用
```

#### 关键代码定位

```
定位方法：
1. 从入口点开始
2. 追踪主要分支
3. 识别 API 调用
4. 分析数据引用
5. 理解程序逻辑
```

---

## 代码特征分析

### 恶意代码特征

#### 进程注入特征

```assembly
; 典型进程注入代码
push 0x2000           ; PAGE_EXECUTE_READWRITE
push 0x1000           ; MEM_COMMIT
push offset size
push 0                ; 地址（NULL = 系统分配）
call VirtualAlloc     ; 分配内存

push hProcess
push offset payload
push size
push lpBaseAddress
call WriteProcessMemory  ; 写入代码

push 0
push 0
push hProcess
call CreateRemoteThread  ; 执行代码
```

#### 持久化特征

```assembly
; 注册表持久化
push HKEY_CURRENT_USER
call RegOpenKeyEx
push offset "Software\\Microsoft\\Windows\\CurrentVersion\\Run"
push offset valueName
push offset data
call RegSetValueEx
```

#### C2 通信特征

```assembly
; HTTP C2 通信
push userAgent
push acceptTypes
push NULL
call InternetOpen     ; 初始化 WinINet

push server
call InternetOpenUrl  ; 连接 C2

push buffer
push bufferSize
call InternetReadFile ; 读取指令
```

### 混淆技术识别

#### 字符串混淆

```
识别方法：
- 字符串在非常规节区
- 字符串被加密/编码
- 运行时解密

分析：
1. 找到解密函数
2. 模拟解密
3. 提取原始字符串
```

#### 代码混淆

```
常见混淆：
- 垃圾指令插入
- 等价指令替换
- 控制流平坦化
- 死代码插入

应对：
- 识别并跳过垃圾代码
- 使用去混淆工具
- 关注关键 API 调用
```

#### 加壳检测

```
加壳特征：
- 入口点在非常规位置
- 节区名称异常（UPX0, UPX1）
- 导入表很小或为空
- 代码熵值高

工具检测：
- Detect It Easy
- PEiD
- Exeinfo PE

脱壳：
- 自动脱壳：UPX -d
- 手动脱壳：调试器 + 转储
```

---

## YARA 规则编写

### YARA 基础

#### 规则结构

```yara
rule rule_name {
    meta:
        description = "规则描述"
        author = "作者"
        date = "2024-04-12"
        reference = "参考链接"
    
    strings:
        $string1 = "恶意字符串" ascii
        $hex1 = { 4D 5A 90 00 }
        $regex1 = /http[s]?://[a-z]+\.evil\.com/
    
    condition:
        $string1 and $hex1
}
```

### 字符串类型

| 类型 | 语法 | 说明 |
|------|------|------|
| **文本** | "string" ascii | ASCII 字符串 |
| **宽字符** | "string" wide | Unicode 字符串 |
| **十六进制** | { 4D 5A 90 } | 字节序列 |
| **正则** | /regex/ | 正则表达式 |
| **XOR** | "string" xor(1-255) | XOR 编码 |

### 条件语法

```yara
// 逻辑运算
$string1 and $string2
$string1 or $string2
not $string1

// 数量条件
2 of ($s*)  // 任意 2 个匹配
all of ($s*)  // 全部匹配
$ s*  // 任意一个匹配

// 位置条件
$ string1 at 0  // 在文件开头
$ string1 in (0..100)  // 在前 100 字节

// 计数条件
#string1 > 5  // 出现超过 5 次
```

### 恶意软件家族规则

```yara
rule CobaltStrike_Beacon {
    meta:
        description = "Detect Cobalt Strike Beacon"
        author = "Security Team"
        malware_family = "Cobalt Strike"
    
    strings:
        $header = "BEACON" ascii
        $config = "Cobalt Strike" ascii
        $s1 = "Mozilla/5.0 (Windows NT" ascii
        $s2 = "Accept: */*" ascii
    
    condition:
        $header or ($s1 and $s2)
}
```

### 规则测试

```bash
# 测试规则
yara -r rules.yar /path/to/samples/

# 输出匹配
# 调试规则
yara -d rules.yar sample.exe
```

---

## 总结与思考

### 核心要点回顾

1. **静态分析是基础** - 安全、快速、可自动化

2. **字符串分析价值高** - 直接提取 IOC

3. **PE 结构要熟悉** - 发现异常特征

4. **反汇编是核心技能** - 深入理解代码

5. **YARA 用于自动化** - 批量检测和分类

### 实战建议

1. **建立分析环境** - 准备完整工具链

2. **编写分析脚本** - 自动化常规分析

3. **积累特征库** - 持续更新 YARA 规则

4. **学习汇编** - 提高逆向能力

5. **分享交流** - 参与社区分析

---

## 参考资料

### 工具资源

- **IDA Pro** - https://hex-rays.com/ida-pro/
- **Ghidra** - https://ghidra-sre.org/
- **radare2** - https://rada.re/n/
- **Detect It Easy** - https://github.com/horsicq/DIE-engine

### 学习资源

- **Practical Malware Analysis** - 经典书籍
- **Reverse Engineering for Beginners** - 免费教程
- **YARA Documentation** - https://virustotal.github.io/yara/

---

*365 天信息安全技术系列 | Day 276 | 恶意代码静态分析技术*