分析病毒功能最重要的就是了解鏈結了哪些dll。常見dll功能如下
kernel32.dll:該動態庫含有很多核心功能,比如操作記憶體,檔案或者硬體的一些函式。
user32.dll:該庫提供所有的使用者介面介面比如buttons,scroll bar等
gdi32.dll:該庫提供顯示和操作圖形介面的函式
ntdll.dll:該庫是windows核心的介面。通常通過kernel32.dll間接鏈結,而不是直接匯入該庫。如果可執行檔案中有該庫,則證明,該執行檔案不正常。通常含有一些隱藏功能的函式或者操縱程序的函式會使用該介面
wininet.dll:該庫提供一些通訊層協議: ftp,http,ntp等。
除了一些常用的dll,還應該了解windows的一些dll命名方式,比如ex結尾的動態庫通常表示該更新後的動態庫和舊庫出現某種形式的不相容,新庫會使用ex字尾以示區別,createwindow***。還有一些函式後面會加上字尾a或者w,該方式是表示該函式接受兩種形式的字串引數,a表示ascii形式的字串引數,w表示wide character strings,使用msdn(microsoft developer network library)查詢函式功能時,要記得去掉a或者w字尾。
分析病毒時,一定要經常查閱msdn,將常用的鏈結庫以及函式功能熟記於心。
MBR病毒分析
樣本行為 1 樣本執行後,會直接獲取 physicaldrive0的控制代碼,從第1扇區 偏移為0x0 讀取大小為200位元組的內容寫入到第3扇區 偏移為0x400 中。其目的應該在輸入正確密碼後,重新恢復原有第1扇區的資訊。2 往第1扇區 偏移為0x0 中寫入大小為200位元組的mbr敲詐資訊 即...
病毒分析基礎
提取方式 peid 偵察程式資訊工具 systemsafety monitor ssm 系統監控軟體 filemon 檔案監控 regmon 登錄檔監控 tcpview網路連線監控 smsniff 網路資料監控 wireshark 網路資料採集分析 ollydbg 動態分析工具 ida 靜態分析工具...
病毒診斷分析程式(病毒分析師的福音)
此程式是乙個專業的病毒診斷分析程式。08 09 26修正版 修正了某些情況下會漏點一些程序沒監控的情況 08 10 11修正四版 修正了在監視某些ie程式時路徑過長導致的藍屏情況 https p blog.csdn.net images p blog csdn net chenhui530 entr...