20145217《網絡對抗》惡意代碼分析

20145217《網絡對抗》免殺原理與實踐

知識點學習總結

進行惡意代碼分析之前必須具備以下知識：編程、匯編/反匯編、網絡基本知識、PE文件結構以及一些常用行為分析軟件。

找到惡意代碼才能對其分析，找到惡意代碼文件就是就是分析的第一步，一般來講，惡意代碼運行必然會創建一個進程，而這個進程就是我們找到他的突破口，一個打開的進程，可以通過任務管理器、Process Explorer等來找到其映像文件的地址，這樣就能找到惡意代碼文件了
但是，現在的惡意代碼可能其自身的進程隱藏，一般來講，隱藏進程的方式就是“脫鏈”，在PEB中有三條鏈表，其中一條鏈表的指向進程，該鏈表的每一個元素代表著每一個進程，如果想對某進程隱藏，那么進行“脫鏈”即可。

首先，我們用PEID查看一些基本信息，用PE explorer等軟件查看導入表，一個程序想對你的電腦進行某些操作，那么它必然會調用系統API，而導入表可以告訴我們這個程序調用了哪些API，我們憑借這些導入函數，可以大致猜測一下這個程序作了什么。
可以對我們提供有效信息的不是只有導入表，查看字符串也經常會有一些意外收獲，這個時候我們可以使用微軟提供的控制臺工具Strings查看程序的字符串信息，通過查看字符串，可以獲取很多提示。

這個時候那就需要用到動態基礎分析了，別猶豫，上虛擬機，跑起來看看吧，跑之前我們先要打開一些行為監控軟件，常用的是微軟提供的Process Monitor、Process Explorer等這些軟件可以監控到注冊表、文件、進程、模塊、網絡、用戶等等等等信息。還可以使用systracer拍攝快照并對比。
很多后門和木馬程序還會采用反彈式連接的方式鏈接到別的主機，這是可以采用nestat、wireshark等抓包工具進行抓包，確定其網絡行為，發現攻擊的主機，后期殺毒再做針對處理。

結果顯然是沒有加殼。在這里我們又見到了編譯器信息。pied能夠顯示反匯編代碼以及一些地址信息，不過最重要的作用還是查殼脫殼，對文件信息的分析不如接下來的兩款PE軟件好用。

可以看到正在聯網到192.168.150.132:443，連接時建立的。這個小程序并不是太好用，雖然可以通過建立新任務的方式讓它在后臺不停地進行記錄，但并不詳細，當有其他程序時顯然用其他程序更好。

轉載于:https://www.cnblogs.com/jokebright/p/6642187.html

本文來自互聯網用戶投稿，該文觀點僅代表作者本人，不代表本站立場。本站僅提供信息存儲空間服務，不擁有所有權，不承擔相關法律責任。
如若轉載，請注明出處：http://www.pswp.cn/news/254951.shtml
繁體地址，請注明出處：http://hk.pswp.cn/news/254951.shtml
英文地址，請注明出處：http://en.pswp.cn/news/254951.shtml

如若內容造成侵權/違法違規/事實不符，請聯系多彩編程網進行投訴反饋email:809451989@qq.com，一經查實，立即刪除！