Theseus

恶意代码入门
恶意代码分析入门工具篇在线的病毒引擎腾讯的哈勃分析系统:https://habo.qq.com/VirusTota...
扫描右侧二维码阅读全文
10
2020/07

恶意代码入门

恶意代码分析入门

工具篇

在线的病毒引擎

腾讯的哈勃分析系统:https://habo.qq.com/

VirusTotal(https://www.virustotal.com/gui/home/search

hybrid(https://www.hybrid-analysis.com/

病毒引擎可以初步给我们一些分析结果,可以作为行为分析的参考。

进程监控

火绒剑(这款进程监控器是比较先进的,功能也是非常的强大)

process monitor(进程监控器)

process Explrer(进程浏览器)

Reghost(这个工具是用来监控注册表是否被修改)

IDA(不用过多介绍,静态分析神器)

OD、windbg、x64dug:动态调试工具

wareshark:抓包

还有一些特定的工具针对特定的恶意代码,后面分析到相关恶意代码的时候在说。

社区推荐

吾爱破解( https://www.52pojie.cn/forum-32-1.html

卡饭论坛( https://bbs.kafan.cn/forum.php

看雪论坛( https://bbs.pediy.com/

知识点篇

如何分析恶意样本?

在拿到恶意样本后需要在隔离的环境下进行分析,同时做好备份处理。

分析流程(静态分析+动态调试行为监控)

①、在反病毒引擎中检测氧泵,大致了解其行为,收集尽可能多的信息,为后面的分析做准备。

②、在静态分析下查看字符串,导入函数,使用到的dll文件。

③、静态分析软件的代码,收集猜测恶意样本的行为

常见的恶意代码行为:

(1)、在注册表中添加启动项

(2)、注册一些服务

(3)、检查常见的杀毒软件的进程,尽可能的终止杀毒软件的查杀

(4)、文件的自我拷贝复制进入系统目录,伪装成为正常的文件

(5)、加密特定的文件,感染特定的文件,植入shell并反弹shell

(6)、联网发送收集的数据或者下载其他恶意软件,传播恶意程序

………

行为有很多,恶意代码编写者也会利用各种漏洞来达到破坏系统获取数据的目的。

④、动态调试,开启进程监控器,必要时可以打开网络监控

需要了解的API函数

操作注册表的函数

RegOpenKeyEx 打开注册表进行编辑和查询

RegSetValueEx 添加一个新值到注册表中,并设置他的值

RegGetValue 返回注册表中一个值

文件操作相关的函数

CreateFile 打开文件

ReadFile 从文件中读取字节信息

WriteFile 向文件中写入字节信息

进程、线程相关的函数

Sleep

ResumeThread

CreateProcessA

GetProcAddress

WriteProcessMemory

在分析的过程中遇到不理解的API函数可以上网查,边查边学习

实战分析篇

本次实战课恶意样本选自《恶意代码实战》这本书上的实验

未完待续……..

最后修改:2020 年 07 月 10 日 09 : 14 PM
如果觉得我的文章对你有用,请随意赞赏

发表评论