恶意代码分析实战学习笔记（一）_恶意代码分析 csdn

恶意代码分析实战学习笔记（一）

静态技术分析基础
1.使用md5deep 来识别恶意代码的哈希值
2.使用strings 来查看恶意代码的字符串，从中查看有用的线索，加过壳的恶意代码的字符串会很少。
3.使用peid程序来检查程序的加壳的情况
4.使用dependency walker来探测动态链接函数
常见函数： kernel32.dll :包含核心系统功能，如访问和操作系统内存，文件和硬件
Advapi.dll：提供了对核心windows组件的访问，比如服务器和注册表
User32.dll：包含了用户界面组件，如按钮，滚动条以及响应和控制用户操作的组件
Gdi.dll：包含了图像显示与操作函数
Ntdll.dll：Windows内核的接口
Wsock32.dll和 Ws2.dll：联网dll
Wininet.dll：包含了更高层次的网络函数，实现ftp，http，ntp等协议
5.程序导出函数用来与其他程序和代码进行交互
6.pe文件头与分节
.text: .text节包含了cpu执行指令。
.rdata: .rdata通常包含导入与导出函数信息
.data: 包含程序的全局数据。
.pdata:只有在64位中存在，储存异常处理信息
.rsrc：包含由可执行文件所使用的资源，如图标，图片。
.reloc：包含重定位库文件的信息
7.使用pe view分析pe文件
image_file_header可以看得编译时间，
子系统是image_subsystem_windwos_cui的是命令窗口运行，而gui图型界面的值是image_file_subsystem_windwos_guiimage_file_subsystem_windwos_gui说明程序会在windows系统内运行；通过对比虚拟大小与原始数据大小也可以判断程序是否加壳。
课后实验
lab 1-1
1.这个实验使用Lab01-01.exe和Lab01-01.dll文件，使用本章描述的工具和技术来获取关于这些文件的信息。
.这些文件是什么时候编译的？
通过peviwe查看得知：