新版 McAfee FileInsight

扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条

今天，我们发布了全新的 2.1 版 McAfee FileInsight。你可以从 Avert 工具站点下载免费版本。FileInsight 是一个适用于网站和文件分析的易用的集成工具环境，具有诸多出色特性：十六进制编辑、内置解码器、内置计算器、反汇编程序、JavaScript 脚本支持、基于 Python 的插件系统等。

作者：Micha Pekrul 来源：ZDNet安全频道 2009年9月19日

关键字：免费迈克菲 McAfee

现在，让我们通过剖析一个恶意软件攻击示例的各个阶段，来了解它的一些分析功能 — 但不要在家里尝试这一“特技”，除非你知道自己要干什么，一个安全、隔离的实验室环境对于开展此类研究工作绝对必要。

上面的截屏图片显示了某个初始的恶意网站,该网站试图控制你的浏览器,将你重新定向到一个或多个攻击威胁。其中之一是利用 Microsoft DirectShow Video ActiveX 控件漏洞 (MS09-032) 实施的攻击（McAfee Virus Scan 将其拦截为 “Exploit-MSDirectShow.b”，McAfee Gateway Anti-Malware 将其拦截为 “BehavesLike.Exploit.CodeExec.EBEO”)。

要得到实际 Shellcode 需要 JavaScript 解压缩步骤。JavaScript 代码分散在若干个脚本文件中，并可以被自定义编码。在上图显示的界面中，我们将恶意代码放入 FileInsight 的 Scripting 窗口，在该窗口可以对其进行反混淆。

当我们到达 Shellcode 阶段，就可以直接在内置反汇编程序中查看 Shellcode。反汇编程序窗口还具备递归遍历功能，可自动生成递归调用点标识。

它可以执行调出操作 (CALL-to-POP) 以确定混淆载荷的实际内存位置，设置并循环调用来对载荷进行解码，然后执行，一个下载 XOR-混淆的执行程序，该可执行程序产生的最终结果是一个 UPX-压缩的后门程序（McAfee Gateway Anti-Malware 将其拦截为 “LooksLike.Win32.Suspicious.C”)。

高级用户还可能希望深入研究一下 FileInsight 基于 Python 的插件系统，但需要注意的是：借助极其简洁的 Python 语言编写插件容易使人上瘾！