步骤:
1.查看分析报告详情,对恶意行为心中有数;
2.养殖*2,看危险行为,下载pcap文件和dump文件;
3.反编译,根据恶意行为有针对的分析,如发送短信、联网控制等;
4.注意查看资源文件,是否有敏感信息或者可疑的文件(子包等);
5.虚拟机中运行,观察其行为或者查看文件;
注:主要目的是提取数据,但是主要的代码流程还是要有数。不然有时分析会不全。
数据的来源:
1.硬编码
2.strings-value
3.文件:
1)首先查看jeb的资源文件
2)下载的dump文件
3)虚拟机里的文件