Pe文件静态分析

最新推荐文章于 2024-08-31 23:01:31 发布
最新推荐文章于 2024-08-31 23:01:31 发布
阅读量1.6k 收藏 5
点赞数
分类专栏: 病毒分析 x86
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LoopherBear/article/details/105891557
版权
本文介绍了PE文件静态分析,包括获取程序基本信息、编译时间、子系统、加壳检测方法。通过查看PE结构、使用特定工具,如DIE、Exeinfo和PEiD,以及分析依赖库、字符串等,来辅助分析程序行为特征。
摘要由CSDN通过智能技术生成

Pe文件静态分析能够获取到哪些信息

在分析一个样本之前,通常会需要静态分析,如何从PE文件格式中获取到需要的信息就很重要。只有在静态分析时对文件的一些布局信息有了理解,例如是是否被加壳了(虽然可以用查壳工具,但是还是需要知道一些原理),文件时图形化界面(GUI)还是命令执行程序(CUI)等信息的提取和掌握,分析时才会更清晰要做什么,做到心中有数。下面是在阅读《恶意软件分析实战》第一章中的一些整理笔记,希望为后续的学习和分析中提供一些基础理论知识来支撑。

程序的基本信息特征

采集程序的md5 sha1 sha-256的信息,之后到virutotal hybird anyrun等在线沙箱去做分析,查看一些分析报告的信息。这里推荐使用hashmyfiles,如下

在这里插入图片描述
使用上述特征到在线分析网站查找即可。如下是virutotal的查找结果
在这里插入图片描述

程序的编译时间

使用PEView查看PEIMAGE_NT_HEADERS-->IMAGE_FILE_HEADER-->Time Date Stamp

最低0.47元/天 解锁文章
LoopherBear
关注
专栏目录
病毒分析系列2 | 使用PE工具进行初步静态分析
SpaceSec的博客
11-02 5987
接上篇。进行病毒分析时,在进行具体的病毒行为分析前,需要或许可疑文件的基本信息,此时可以使用pe工具进行分析和获取在该文章中所涉及的知识主要是pe文件格式的相关知识,使用文字进行原理说明会相对冗余。
Manalyze:用于PE可执行文件静态分析
02-24
法力分析 介绍 当我的防病毒软件第30次尝试隔离我的恶意软件样本集合时,我对Manalyze的工作就开始了。 这也源于我对AV产品越来越沮丧,他们在做出决定时根本没有解释为什么它们认为文件是恶意的。 显然,大多数人最好让杀毒软件来决定最适合他们的。 但是在我看来,专家用户(例如,恶意软件分析师)可以使用一种工具来分析PE可执行文件,并提供尽可能多的数据,并由他们最终决定。 如果您想查看该工具生成的一些示例报告,请随时尝试为它创建的Web服务: 。 目录 PE文件静态分析器 Manalyze是用Windows和Linux的C ++编写的,并根据的条款发行。 它是用于PE文件的强大解析器,具有灵活的插件体系结构,允许用户深度静态分析文件。 a ... 标识PE的编译器 检测打包的可执行文件 应用ClamAV签名 搜索可疑字符串 查找恶意导入组合(即WriteProcessMemory
DataCon2020:DataCon2020大数据安全分析大赛,:trophy:【方向五】恶意代码分析冠军原始码
03-23
数据大会2020 DataCon2020大数据安全分析大赛, :trophy: 【方向五】恶意代码分析冠军原始码和方案。 最终排名(部分) 赛题回顾 启发与思路 资格赛中获得的启发 ①〜②:需要关注虚拟机,调试软件,反编译软件,逆向分析工具和杀软名 ③〜⑤:需要关注系统关键路径,位数 ⑥〜⑦:需要关注域名,IP,端口,钱包地址,可见字符串 ⑧ ⑩:同③ ⑤ 逆向工程中得到的思路 通过逆向分析,发现许多样本函数名包含数据货币名,密码学算法名(哈希算法)。 很多带壳样本:UPX,Pelite,VMP…… 白样本含有很多其他类别恶意程序,如病毒,外挂…… 算法与模型 复赛环境建设说明: 复赛预脚本: 复赛测试脚本: 重复赛一键验证测试脚本: 本次初赛,附加赛与复赛我们队使用的五种算法或模型如下(其中在复赛中因为有性能的需求,部分模型未使用): 灰色图 PE文件二进制每一个字节对应一个变量,最后缩放
PE文件结构详解(非常详细)
最新发布
zhaotianff的专栏
08-31 1448
1 //大小为: 0x40(64)字节3// MZ标记 0x5a4d// 最后(部分)页中的字节数// 文件中的全部和部分页数// 重定位表中的指针数// 头部尺寸以段落为单位// 所需的最小附加段// 所需的最大附加段// 初始的SS值(相对偏移量)// 初始的SP值// 补码校验值// 初始的IP值// 初始的SS值// 重定位表的字节偏移量// 覆盖号// 保留字// OEM标识符(相对m_oeminfo)// OEM信息// 保留字。
PE文件格式详解(3)
马说@CSDN
12-26 2669
PE可选头部  PE可执行文件中接下来的224个字节组成了PE可选头部。虽然它的名字是“可选头部”,但是请确信:这个头部并非“可选”,而是“必需”的。OPTHDROFFSET宏可以获得指向可选头部的指针:PEFILE.H#define OPTHDROFFSET(a) ((LPVOID)((BYTE *)a + /                        ((PIMAGE_DOS_HEAD
恶意代码分析实战:静态分析技术
「鸿渐之翼」的博客
08-14 666
恶意代码分析实战专辑 博主:鴻漸之翼 个人介绍:男,搞底層的FW,喜歡發一點沒用的東西。 项目gitee地址: https://gitee.com/hongsofwing/PracticalMalwareAnalysis-Labs 访问我的Gitee 问题 1.使用http://www.VirusTotal.com分析并且查看报告。文件是否匹配到已有的反病毒软件特征? 2.文件编译时间 3.文件是否加壳 4.导入函数显示出了恶意代码是做什么的?有哪些导入函数? 5.是否有其他基于主机的文件迹象? 6.是否有
PE文件静态分析工具源码
06-29
一个PE文件静态分析工具(附带源码) 自己在学习PE文件格式中写的分析工具,附带源程序。采用VC2003编译。对PE文件各个部分都有说明,希望对大家有用。
PE文件静态注入
蚁景网安学院
02-08 1126
点击"蓝字"关注,获取更多技术内容DLL注入指的是向运行中的其他进程强制插入特定的DLL文件。可以通过修改静态PE文件,修改输入表结构,使得程序执行时载入特定的DLL文件。通常可执行文件...
加密与解密 调试篇 静态分析技术 (一)文件类型/窗口/定位
m0_64180167的博客
06-19 220
逆向分析的第一步就是文件类型分析文件使用什么写的 使用什么编译器编译的是否被加密过然后才能进入下一步有很多工具可以进行分析我选择exeinfo来查看但是并不是工具就可以直接分析完成因为有些会存在欺骗把入口代码改造成和Visual C++ 6.0类似的代码就可以对该类软件进行欺骗。
chapter1 静态分析技术-08PE文件分析 PEview
weixin_43925963的博客
11-22 865
PEVIEW查看PE文件
PE文件结构
wangtiankuo的博客
07-02 523
本文整理自《加密与解密》第10章 一、基本概念基地址:映射文件的起始地址被称为模块句柄,可以通过模块句柄访问内存中其他的数据结构。这个初始内存地址被称为基地址 GetModuleHandle函数返回可执行文件的基地址。 相对虚拟地址(RVA):RVA只是内存中的一个简单的相对于PE文件装入地址的偏移位置。实际的内存地址被称作虚拟地址(VA)VA=ImageBase+RVA 文件偏移地址:PE文件存...
PE 文件时间戳修改工具
12-16
PE 文件时间戳修改工具, 将PE文件中编译时间戳统一修改为2008-08-08 08:08:08 使用方法: 1、命令行: TimeFix d:\Budded.dll 2、Delphi2007中PostBuild中可以使用: "$(BDS)\Bin\TimeFix.exe" "$(OUTPUTPATH)" 修改相关路径即可
通过分析PE文件查找dll依赖库,并将dll分类,copy到PE目录,方便部署
02-11
- 通过分析PE文件所有的依赖库(同depend工具) - 按照windows默认的dll加载顺序查找dll路径 - 比对dll库类型,分为 ~~~ 'ignor' : 可忽略的,默认都是system32目录;但有些开发库安装时也会默认安装到system32路径...
PE文件(八)静态与动态链接库
2301_78838647的博客
07-08 1087
本章内容为导入表和导出表的前置内容。
第1章 静态分析基础技术
好好学习,天天向上
12-22 235
书中的例子 https://practicalmalwareanalysis.com/ https://github.com/mikesiko/PracticalMalwareAnalysis-Labs fakenet模拟网络的工具 https://sourceforge.net/projects/fakenet/ 1 使用反病毒引擎扫描 VirusTotal https://www.vir...
静态分析技术
qq_36308972的博客
06-11 3605
程序静态分析是一种在不执行程序的情况下对程序行为进行分析的理论、技术,简称为静态分析。 程序动态分析则是另一种程序分析策略,它需要实际执行程序。 静态分析这一术语一般用来形容邹东华工具的分析,而人工分析则往往叫做程序理解。 所谓静态分析,就是从反汇编出来的程序清单上分析程序流程,了解模块完成的功能。 形式化方法 程序分析中的形式化方法一般指利用纯粹严格的数学方法对软件、硬件进行分析的理论及技术...
20145233计算机病毒实践2之静态分析
weixin_30835923的博客
06-07 144
20145233计算机病毒实践2之静态分析 Lab01-01静态分析 PEiD 可以看出来第一程序没有使用任何加壳工具,直接使用C语言编程的 info可以查看仔细的分析,upx应该是压缩壳病毒 PE Explorer 这个静态可以发现程序什么时候编好的,并且可以看到几个基地址 PEview PEview查看32位可移植可执行(PE)和组件对象文件格式(COFF)文件的结构...
静态分析基础技术
Hvnt3r的博客
03-06 803
静态分析基础技术 原文链接:https://hvnt3r.top/2019/01/静态分析基础技术/ 知识点 我觉得安全圈的思路都是差不多的,跟渗透测试一样,对一个恶意软件的分析也需要前期的信息收集阶段来帮助我们对目标有一个大致的了解和认识,方便确定下一步工作的方向。 **Virus Total:**首先,拿到一个恶意软件如果不涉密的话可以直接上传到VT上看一下,这样差不多能确定此恶意软件的最早爆...
PE文件(九)导出表
2301_78838647的博客
07-10 1173
解析此图:该PE文件以.def的方式自定义序号导出函数,定义了序号13、14、16、17、19的导出函数,那么Base的值应为13,那么序号为13的函数相对相对下标就是0,序号14的导出函数相对下标就是1,序号为15的导出函数虽然没有,但是会把位置空出来,定义地址值为NULL,即0x00000000,序号16的导出函数相对下标就是3…导出函数名称表RVA我们在硬盘数据找该表地址时要先转成FOA,这个地址指向的表记录了导出函数的名称字符串RVA首地址,而不是导出函数名称。//导出函数名称表RVA *
"深入剖析PE可执行文件格式:静态分析安全必备
PE文件格式在Windows NT、Windows 95和Win32s系统中广泛使用,是静态分析安全人员必须掌握的内容。本文档描述了Windows系统下可执行文件格式的标准,介绍了PE文件的结构、如何获取PE文件的OEP(Original Entry Point...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值