恶意代码分析实战_01静态分析基础知识

0. 内容概述

通过反病毒引擎扫描可疑软件、通过哈希值查询可疑软件、通过字符串查询分析可疑软件、加壳可疑软件分析、PE格式可疑软件分析、可疑软件链接库与函数分析。

1. 反病毒引擎扫描：实用的第一步

在分析一个可以的恶意软件样本时，第一步就是拿多个反病毒软件扫描这个文件，看是否有哪个引擎已经能够识别它。因为不同的反病毒软件使用了不同的特征库和启发式检测方法。所以对同一个恶意代码样本，运行多个不同的反病毒软件进行扫描检测是相当必要的。类似VirusTotal这样的网站允许你上传一个文件，然后调用多个反病毒引擎来进行扫描。VirusTotal网站会生成一份报告，其中提供了所有引擎对这个样本的识别情况、表示这个样本是否恶意、恶意代码名称、以及其他额外信息，如图1所示。

图1. 通过VirusTotal检查可疑软件

2. 哈希值：恶意代码的指纹

哈希是一种用来唯一表示恶意代码的方法。恶意代码通过一个哈希程序，会产生出一段用于唯一标识这个样本的独特哈希值（类似于一种指纹）。常见的哈希值包括，MD5、SHA-1、SHA-256。通过将可疑文件提交到VirusTotal，可以实现可以文件哈希值的生成（DETAILS表格），如图2所示。

图2. 通过VirusTotal生成可疑文件的哈希值