Pe文件静态分析能够获取到哪些信息
在分析一个样本之前,通常会需要静态分析,如何从PE文件格式中获取到需要的信息就很重要。只有在静态分析时对文件的一些布局信息有了理解,例如是是否被加壳了(虽然可以用查壳工具,但是还是需要知道一些原理),文件时图形化界面(GUI)还是命令执行程序(CUI)等信息的提取和掌握,分析时才会更清晰要做什么,做到心中有数。下面是在阅读《恶意软件分析实战》
第一章中的一些整理笔记,希望为后续的学习和分析中提供一些基础理论知识来支撑。
程序的基本信息特征
采集程序的md5 sha1 sha-256
的信息,之后到virutotal hybird anyrun
等在线沙箱去做分析,查看一些分析报告的信息。这里推荐使用hashmyfiles
,如下
使用上述特征到在线分析网站查找即可。如下是virutotal
的查找结果
程序的编译时间
使用PEView
查看PE
的IMAGE_NT_HEADERS-->IMAGE_FILE_HEADER-->Time Date Stamp