1.1反病毒引擎掃瞄
virustotal:
virscan:
1.2雜湊值:惡意**的指紋
md5計算軟體:md5deep、winmd5
1.3查詢字串
編碼:ascll(單位元組)、unicode(雙位元組)
1.4加殼與混淆惡意**
tips:加殼程式至少包含loadlibrary和getprocaddress函式,他們用來載入和使用其他函式
1.4.1 檔案加殼:加殼過程源程式被壓縮
1.4.2 使用peid檢測加殼:peid、脫殼程式
1.5pe檔案格式
pe檔案格式(一種資料結構):是windows可執行檔案、物件**和dll所使用的標準檔案格式。
1.6鏈結庫與函式
1.6.1 鏈結型別
1.6.2 使用dependency walker工具探索動態鏈結函式
dependency walker工具:
tips:常見的dll程式:
1.kernel32.dll:包含核心系統功能,如訪問和操作記憶體、檔案和硬體等
2.advapi32.dll:這個dll提供了對核心windows元件的訪問,比如伺服器管理器和登錄檔
3.user32.dll:包含所有使用者介面元件、如按鈕和滾動條以及控制和響應使用者操作的元件
4.gdi32.dll:包含了圖形顯示和操作的函式
5.ntdll.dl:windows核心的介面。可執行檔案通常不匯入這個函式,由kernel32.dll間接匯入
6.wsock32.dll和ws2_32.dll:聯網dll
7.wininet.dll:包含了更高網路層次的網路函式,實現了ftp\http\ntp等協議
8.函式的命名約定:ex字尾代表擴充套件/接受引數a(ascll)或w(寬位元組)結尾函式
1.6.3 匯入函式
msdn庫:
1.6.4 匯出函式
1.7靜態分析技術實戰-案例
1.7.1 potentialkeylogger.exe:乙個未加殼的可執行檔案
setwindowshookex函式:間諜軟體常用函式
registerhotkey函式:註冊熱鍵
advapi32.dll:登錄檔使用
1.7.2 packedprogram.exe:惡意程式加殼
1.8pe檔案頭與分節
.text:.text截包含了cpu執行指令,唯一可執行節和**節。
.rdata:.rdata節通常包含匯入與匯出函式資訊,與dependency walker 和peview工具所獲得的資訊是相同的。
.data:.data節包含了程式的全域性資料,可以從程式的任何地方訪問到。
.rsrc:.rsrc節包含由可執行檔案所使用的資源,而這些資源不是可執行的。
1.8.1 使用peview來分析pe檔案
tips:通過兩者的比較可以有效的判斷加殼情況
1.8.2 使用resource hacker 工具檢視資源節
1.8.3 使用其他pe檔案工具
1.pebrowse professional
2.pe explorer
1.8.4 pe檔案頭概述
1.匯入函式:惡意**使用了那些庫中的函式
2.匯出函式:惡意**期望被其他程式或庫呼叫的函式
3.時間戳:程式在什麼時候被編譯的
4.分節:檔案分節的名稱,以及他們在磁碟與記憶體中的大小
5.子系統:指程式是乙個命令列還是圖形介面
6.資源:字串、圖示、選單項和檔案中包含的其他資訊
1.9 小結:簡單的掌握工具的使用方式和情景
第1章 靜態分析基礎技術
書中的例子 fakenet模擬網路的工具 加殼後的惡意程式列印的字串很少 注意 加殼的惡意 至少會包含loadlibary 和 getprocaddress兩個api函式 它們用來載入和使用其它函式功能 加殼程式 upx加殼工具 官網 脫殼upx.exe d pefile pe portable f...
第1章 靜態分析實驗題
lab1 1 question 1.上傳檔案至virustotal,有相應的反病毒特徵 2.使用peview無法檢視檔案編譯時間,但virustotal結果顯示 creation time 2010 12 19 16 16 38 creation time 2010 12 19 16 16 19 3...
第 4 章 系統分析 1
第 4 章系統分析 本章筆者準備分為兩部分介紹,第一部分是結構化的分析方法 第二部分是物件導向的分析方法。4.1結構化的分析方法概述 結構化的分析方法是軟體工程的經典分析方法,被廣泛使用了很多年,按照此思路構建的系統不計其數。那麼什麼是結構化的分析方法,它的要點是什麼呢?結構化的分析方法是一種建立模...