书中的例子 https://practicalmalwareanalysis.com/
https://github.com/mikesiko/PracticalMalwareAnalysis-Labs
fakenet模拟网络的工具 https://sourceforge.net/projects/fakenet/
1 使用反病毒引擎扫描
- VirusTotal https://www.virustotal.com/gui/
- VirScan https://www.virscan.org/language/zh-cn/
2 哈希值
winMD5.exe
计算文件的md5值,在线搜索
3 查找字符串
Strings.exe 下载页面 https://docs.microsoft.com/zh-cn/sysinternals/downloads/strings
下载后解压,将exe放在C:\windows\system32下即可
Strings可查看PE文件中字符串,有助于推断出恶意代码的用途
4 加壳和混淆
加壳后的恶意程序打印的字符串很少
注意:加壳的恶意代码至少会包含LoadLibary 和 GetProcAddress两个API函数 ,它们用来加载和使用其它函数功能
4.1 文件加壳
加壳程序
4.2 PEiD检测加壳
UPX加壳工具 官网https://upx.github.io/
脱壳
upx.exe -d pefile
5 PE文件格式
PE portable File Format(可移植文件) dll exe
6 链接库和函数
PE文件的导入表 其它文件的函数 链接在主函数中
6.1 链接分类
- 静态链接: 将库中的代码复制到可执行代码中
- 运行时链接:在程序运行中,需要时链接相应的库
通常会使用LoadLibrary和GetProcAddress两个函数,可访问系统中任意库中的任意函数 恶意代码常用 - 动态连接: 在程序被装载入内存时,链接相应的库,windows下最常用
PE头中的导入表中存储有引用的库和函数信息
6.2 动态链接库
Dependency Walker http://www.dependencywalker.com/
常见的DLL
windows API的命令规范
A ansi版本的api
W unicode版本的api
Ex 后面扩展的api
如MessageBoxW MessageBoxA CreateWindowEx
6.3 导入函数
PE头中包含文件使用的特定函数相关信息
6.4 导出函数
用来提供给其它程序使用的函数信息
7 静态分析技术实践
8 PE文件头
PE节
使用python 解析PE文件, https://blog.csdn.net/bagboy_taobao_com/article/details/14168597
#-*- coding:utf-8 -*-
import pefile,sys
#输出文件的PE头部信息
print(pefile.PE(sys.argv[1]))
PE文件格式
PE文件格式可参考这个 https://www.cnblogs.com/2f28/p/9800992.html
8.2 使用resourcehacker工具查看资源节
8.3 其它的PE工具
PEBrowse Pro
PE Explorer
8.4 PE文件头
image.png