快畢業了也應該給自己定個明確的方向,對於病毒分析這方面的知識確實還是感興趣的,這裡收集了一些資料,給大家分享一下。
以下來自烏龜,略有改動
先說說硬體:
條件允許的情況下,2條不同網路運營商提供的線路,2臺或以上的電腦,具體配置自己感覺滿意就行
雖然用虛擬機器也可以,但難免某些惡意**有虛擬機器檢測機制,所以能用真機就盡量用了
必備工具:
windows xp(別嫌棄老,老有老的好處,輕便+省事)
ida pro(雖然市面上還有別的反彙編工具,一是因為ida強大,二是因為反病毒行業必備,如果哪位兄弟非要用別的,面試時被bs千萬別說沒提醒過。另外hex-rays的反編譯外掛程式確實很強大,但是太貴了沒閒錢買,不過有破解版的,另一方面養成自己動手豐衣足食的好習慣後其實也不差那個外掛程式)
ollydbg(同上,行業必備。但說實話,個人很少用,不是說它不好,而是ida的注釋太重要了,能靜態ida的絕不除錯,即便實在要除錯,能用ida自帶的偵錯程式搞定的就直接搞定了,實在不行再換od)
windbg(同上,行業必備,除錯驅動利器,大多驅動直接用ida靜態也就夠了。我一般用它來除錯核心)
wireshark(截資料報必備利器。和前者一樣,個人很少用,也不是說它不好,只是分析時我很少會真讓惡意**徹底跑起來,有需要或是靜態逆出來,或是直接從偵錯程式裡抓出來了)
還有一些小軟體,個人比較喜歡,但不是必須的
010 editor,dede,ghost,hiew,lordpe,winhex,c32等
除此之外還需要一些監測小軟體,其實有很多免費的或共享的,但出於減少被惡意**忽悠的考慮,所以個人覺得能寫的還是自己寫好,就算不能寫,也盡量選個不知名的。
主要有:系統變化監測、api監測、rootkit監測
其他用於測試的備用軟體:
各類伺服器(http, smtp, ftp, irc等等)
各類常見im(qq,msn,yahoo等等)
microsoft office(各個版本的安裝檔案)
adobe acrobat reader(各個版本的安裝檔案)
adobe flash player(各個版本的安裝檔案)
最後提一下惡意**樣本的基本分析流程(不包含特徵碼提取):
病毒分析必備工具及基本流程
快畢業了也應該給自己定個明確的方向,對於病毒分析這方面的知識確實還是感興趣的,這裡收集了一些資料,給大家分享一下。以下來自烏龜,略有改動 先說說硬體 條件允許的情況下,2條不同網路運營商提供的線路,2臺或以上的電腦,具體配置自己感覺滿意就行 雖然用虛擬機器也可以,但難免某些惡意 有虛擬機器檢測機制,...
病毒分析流程總結
前段時間拜讀了 惡意 分析實戰 一書,算是對整個病毒分析的流程和常用方法有個大致的了解,現在總結一下,也算是給自己做的乙個筆記。首先,病毒分析師必須具備以下知識 程式設計 彙編 反彙編 逆向分析 pe檔案結構以及一些常用行為分析軟體。下面開啟我們的旅程。一 在乙個已經感染了病毒的機器上如何找到病毒檔...
crtmpserver 基本流程分析
首先我們先分析下基本流程。1 初始化流程 initnetworking 初始化網路 initialize logger init 初始化日誌 lowercase extension lua 載入.lua字尾配置檔案 loadluafile normalize 初始化日誌配置 初始化監聽配置 ioha...