欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

在Mac Linux系统里怎么简单直观判断一个文件是否属于恶意病毒呢

来源:本站整理 作者:佚名 时间:2017-10-10 TAG: 我要投稿

熟悉Mac/Linux的用户常常会应用敕令行,假如碰到体系非常,如CPU应用率暴跌等,常常会应用top敕令去定位究竟是哪一个法式呈现了非常。找到相干法式后,因为许多用户本身没有平安配景或许不大理解逆向,便无奈去阐发法式究竟做了甚么,不敢徒然kill掉法式。又假如文件夹上面无端多了非本身创立的法式,这时候也不敢徒然删除。针对这一环境,本文先容几种小技能,让你疾速断定一个法式能否是歹意样本。
1.应用file敕令疾速辨认文件范例  

如图应用file敕令辨认名为bashd的文件,从成果中能够看出这个文件为ELF 64位可执行文件,Linux 2.6.18内核平台下。以上信息边可断定这个文件是一个可执行文件,而从文件名bashd中能够第一个闪过脑中的观点即这个法式是bash的保卫过程,那末究竟是否是呢?咱们接着阐发。
2. 应用xxd敕令检查文件十六进制内容

如图应用xxd敕令能够表现文件的十六进制格局,从文件头的前几个字节能够看出这个文件是ELF格局的可执行文件。固然为了防止满屏的十六进制这里应用head敕令值表现了头部十六进制。

假如你对这个可执行文件其余行动感兴趣,也能够入上图经由过程grep+字段来搜刮你感兴趣的内容。如图,咱们找到了socket.h和curl_socket,能够预测这个法式能够有收集行动,并且应用用curl。
3.应用strings敕令疾速辨认文件大要功效
strings敕令,熟悉Mac/Linux的用户都晓得该敕令是在工具或二进制文件中查找可打印的字符串。字符串是4个或许更多可打印字符的随意率性序列,以换行符或空字符停止。歹意文件中常常包括能够表现这个法式行动的字符串,经由过程该敕令,便可疾速表现其文件能够包括的行动。

如图,咱们能够瞥见其字符串包括了curl几个API,阐明法式由应用curl接口,也印证了咱们上末节的断定。

当屏幕继承往下拉的时刻,咱们发明了其法式的赞助敕令,从以上信息能够看出这个法式是一个挖矿法式,其版本号为cpuminer 2.3.3,编译光阴为2017年7月12日。停止到这里咱们根本能够鉴定这个法式是个歹意法式,重要功效是用来挖矿。假如你想继承深挖信息,能够经由过程Baidu等搜刮平台搜刮关键字cpuminer,能够找到该法式的源代码,这里贴出源码地点https://github.com/pooler/cpuminer,请人人不要作不法用处。
4.应用readelf或greadelf敕令继承深刻发掘文件信息
当断定这个文件为ELF文件格局以后,咱们便能够经由过程readelf或greadelf敕令来检查文件加倍详细的信息。这里以Mac平台的greadelf为例子。


如图经由过程greadelf -a bashd敕令表现了该文件加倍详细的信息,经由过程这些信息能够加倍全面的熟悉该法式的功效。
经由过程以上简简单单的四个Mac/Linux下的敕令咱们敏捷断定一个文件的能否为歹意样本,并且还找到该歹意样本的源代码,胜利将其kill掉。时代咱们没有应用太多高级的技能,也没应用逆向的相干常识,但却疾速解决问题。固然假如法式应用了更多高级的技能,以上敕令并不能获得许多信息,照样必要加倍深刻的阐发,其阐发办法咱们会在以后的文章先容到。

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载