赞
踩
恶意代码分析实战学习笔记(一)
静态技术分析基础
1.使用md5deep 来识别恶意代码的哈希值
2.使用strings 来查看恶意代码的字符串,从中查看有用的线索,加过壳的恶意代码的字符串会很少。
3.使用peid程序来检查程序的加壳的情况
4.使用dependency walker来探测动态链接函数
常见函数: kernel32.dll :包含核心系统功能,如访问和操作系统内存,文件和硬件
Advapi.dll:提供了对核心windows组件的访问,比如服务器和注册表
User32.dll:包含了用户界面组件,如按钮,滚动条以及响应和控制用户操作的组件
Gdi.dll:包含了图像显示与操作函数
Ntdll.dll:Windows内核的接口
Wsock32.dll和 Ws2.dll:联网dll
Wininet.dll:包含了更高层次的网络函数,实现ftp,http,ntp等协议
5.程序导出函数用来与其他程序和代码进行交互
6.pe文件头与分节
.text: .text节包含了cpu执行指令。
.rdata: .rdata通常包含导入与导出函数信息
.data: 包含程序的全局数据。
.pdata:只有在64位中存在,储存异常处理信息
.rsrc:包含由可执行文件所使用的资源,如图标,图片。
.reloc:包含重定位库文件的信息
7.使用pe view分析pe文件
image_file_header可以看得编译时间,
子系统是image_subsystem_windwos_cui的是命令窗口运行,而gui图型界面的值是image_file_subsystem_windwos_guiimage_file_subsystem_windwos_gui说明程序会在windows系统内运行;通过对比虚拟大小与原始数据大小也可以判断程序是否加壳。
课后实验
lab 1-1
1.这个实验使用Lab01-01.exe和Lab01-01.dll文件,使用本章描述的工具和技术来获取关于这些文件的信息。
.这些文件是什么时候编译的?
通过peviwe查看得知:
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。