1.基础分析
2.详细介绍
2.1 指纹探测
恶意代码指纹探测技术有很多种,常见的有hash值探测、流量统计指纹、纹理指纹探测、图像指纹探测、动态行为指纹......
(1)hash值检测方法比较方便,但效率低。恶意程序稍微修改一下程序流程或加个免杀,就会产生不同的hash值。
(2)流量统计指纹:提取恶意代码流量中的包层特征和流层特征,对高维流层特征采用主成分分析进行降维,利用两类特征的概率密度函数建立恶意代码流量统计指纹,使用该指纹检测网络中恶意代码通信流量。
(3)图像指纹探测:将恶意代码反汇编文件绘制成图像,提取图像的全局指纹GIST特征描述符和局部指纹SIFT特征点,通过BoW模型对局部特征进行优化,最终获取图像指纹,并采用随机森林的方法实现恶意代码家族标注。
(4)动态行为指纹:筛选3种特征来描绘恶意软件的动态行为指纹:一是字符串的命名特征;二是注册表的变化特征;三是围绕关键API函数的调用顺序的特征.通过指纹匹配算法计算不同恶意代码之间的相似性度量,进行同源性分析
2.2 加壳检测
壳指的是可执行文件所具有的压缩、加密、保护作用的东西。
常见的壳:
| 压缩壳 | 加密壳 | 虚拟机保护软件 |
| ASPacK | ASProtect | VMProtect |
| UPX | Themida | |
| PECompact | Armadillo | |
| NsPack | EXECrypto |
查壳工具:PEID
其它查壳工具:GetTyp,pe-scan,
2.3 链接库与函数
链接库:静态链接库(大多lib)和动态链接库(大多dll)
研究工具:Dependency Walker
函数:windows的导入函数,导出函数
通过函数的名字可以判断出文件相应的功能。常见恶意函数=>https://blog.csdn.net/xlsj228/article/details/91357527
2.4 PE文件分析
文件头:DOS头与PE头
分节:
分析工具:Peview
三、基础动态分析
3.1 分析流程
3.2 Process Moniter
(1)选择svchost.exe
(2)CTRL+L打开过滤器
(3)输入PID,点击Add,然后点击OK
3.3 Process Explore
3.4 SRSniffer
