学习笔记-第四章 恶意代码分析实战

最新推荐文章于 2023-05-17 10:28:03 发布
最新推荐文章于 2023-05-17 10:28:03 发布
阅读量657 收藏 1
点赞数
分类专栏: online-learning 文章标签: 恶意代码分析实战
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Yes_butter/article/details/88144267
版权
本文主要聚焦于x86反汇编的学习,作为恶意代码分析实战的一部分。在第四章中,作者详细探讨了这一主题,尽管没有配套的课后实验。
摘要由CSDN通过智能技术生成

第四章

x86反汇编学习

一。计算机系统被描述为以下六个抽象层次。
	1.硬件。 硬件层是唯一的一个物理层,由电子电路组成。这些电路实现了xor,and,or,not门等逻辑运算器的
	复杂组合,成为数字逻辑。由于物理特性,硬件很难被软件所操纵。
	
	2.微指令。 微指令又成为固件。微指令只能在为它设计的特定电路上执行。这层由一些微指令构成,它们
	从更高的机器码层翻译过来,提供了访问硬件的接口。当分析恶意代码时,我们通常不关心微指令,因为
	它们通常是为特定的计算机硬件设计的。
	
	3.机器码。 机器码层由操作码组成,操作码是一些十六进制形式的数字,用于告诉处理器你想要它做什么。
	机器码一般由多条微指令实现,这样底层硬件就能实际执行代码了。而机器码本身又由高级语言编写的计
	算机程序编译而来。‘
	
	4.低级语言。 低级语言是计算机体系结构指令集的人类易读版本,主要是汇编语言。恶意代码分析师使用
	这一层,因为对人来说,机器码不易理解。我们使用过反汇编器来生成低级语言的文本,这些文本由一些
	简单的助记符组成,如mov和jmp。汇编语言存在一些不同的语法,我们会逐一介绍。
	
	5.高级语言。 大部分程序员使用高级语言。高级语言对机器层做了很强的抽象,从而可以很轻松地使用程
	序逻辑和流程控制机制。高级语言包括c,c++等。它们被一个编译器经过成为编译的过程转化为机器码。
	
	6.解释型语言。 解释型语言位于最高层。 很多程序员使用诸如c#,perl,.net.java等解释语言。这一层的代码
	不会被编译为机器码,而是被翻译为了字节码。字节码是特定于该语言的一种中间表示,它在解释器中执
	行。解释器是一个运行时将字节码实时翻译为可执行机器码的程序,它在解释器中执行。

二.逆向工程
 	恶意代码存储在磁盘上,通常是机器码层
最低0.47元/天 解锁文章
浅夜。
关注
专栏目录
学习笔记-第十四章 恶意代码分析实战
Yes_butter的博客
03-26 1516
第十四章 恶意代码的网络特征 1.网络应对措施。 网络行为的基本属性包括IP地址,TCP端口,以及流量内容等,网络和安全 设备可以利用它们,来提供网络应对措施。根据IP地址和端口,防火墙和路由器可以限制对 网络的访问。 入侵检测系统,入侵防御系统,以及电子邮件和web代理等其他安全应用。 作为常用术语的 入侵检测系统已经过时了。特征不再仅仅用在入侵检测方面,还可以用来检测网络扫描,服 务枚举与分...
恶意代码分析
weixin_33872566的博客
04-18 176
基础问题回答 如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。 创建进程、修改注册列表、网络连接;可以使用任务管理器和抓包工具,但是这样太费时费力了,还是用计划任务吧; 如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息。 可以使用反汇编或者反编译工具查看他的代码,也可以让他在沙盘中运...
学习笔记-第五章 恶意代码分析实战
Yes_butter的博客
03-11 941
第五章 1.加载可执行文件。可以选择加载方式。 使用二进制文件进行反汇编等等。因为恶意代码有时 会带有shellcode,其他数据,加密参数,甚至在合法的PE文件中带有可执行文件,并且包含这 些附加数据的恶意代码在Windows上运行或被加载到IDA Pro时,它并不会被加载到内存。 2.选择合适的反汇编窗口模式 <1>图形模式,图形模式更容易看清流程,对于每一个跳转比较清除 &...
学习笔记-第九章 恶意代码分析实战
Yes_butter的博客
03-18 1128
第九章 OllyDbg 1.加载恶意代码 直接加载可执行文件,甚至dll程序。如果恶意代码已经在你的系统上运行,你可以通过附加进程的 方式调试它。另外,ollydbg是一个灵活的调试系统,可以使用命令行选项运行恶意代码,甚至支持 执行DLL中某个函数。 打开一个可执行文件, 使用ollydbg调试恶意代码的最简单方式,是选择ollydbg界面中的File-open 然后浏览到要加载的...
学习笔记-第六章 恶意代码分析实战
Yes_butter的博客
03-12 792
课后作业 本章实验的目标是帮助你通过分析代码结构来理解一个程序的总体功能。每一个实验将指导你发现和分析一个新的代码结构。每一个实验在前一个基础上构建,因此通过四种结构创建了一个复杂的恶意代码片段。一旦你完成了这个实验所需的工作,你应该能够挡在恶意代码中遇到它们时,更容易地识别这些单独的结构。 Lab 6-1 在这个实验中,你将分析在文件Lab06-01.exe中发现的恶意代码。 问题 1.由mai...
学习笔记-第七章 恶意代码分析实战
Yes_butter的博客
03-14 1346
第七章 1.Windows API 广泛的功能集合,管理恶意代码与微软程序库之间的交互方式。 <1> 类型,表达方法。 dw表示 double word。w表示word。H表示Handles <2> 句柄 比如一个窗口,模块,菜单,文件等等 <3> 文件系统函数 <4> 特殊文件 2.Windows 注册表 注册表用来保存操作
恶意代码分析(Malicious Mobile Code)
09-10
恶意代码分析(Malicious Mobile Code)
恶意代码分析(一)
qq_41988448的博客
03-23 1260
病毒分析(一)样本来源样本概况分析环境分析步骤一、初步分析二、调试分析 样本来源 https://www.52pojie.cn/thread-1377686-1-2.html 样本概况 样本信息 Value 样本名称 免费外纪.exe 样本大小 4.62MB(4,853,850 Byte) MD5 bcfc56704ea9b62650bec0349532b7d7 SHA1 176fbfb56e401f1043532377c1b67bd207c32bb9 时间戳 28/10/2
恶意代码分析-第四章-X86反汇编
每昔的博客
08-06 228
简单指令 网络中用大端字节序 X86中用小端字节序 sub 指令会修改:ZF:结果为0 CF:目标操作数比减去的值小 CF置位 乘法指令mul:mul value - - -eax乘value 结果以64位形式分别存储在EDX(高)和EAX(低) 除法指令div :div value - - - EDX和EAX和起来除以value 结果商存储在EAX,余数存储在EDX 目的操作数左右...
恶意代码分析方法(一)
shannow_123的博客
02-27 2573
1.哈希值 工具:MD5deeep 用于判定开发者的程序是否被修改 2.查找字符串 帮助了解程序功能属性 3.动态链接函数 工具:DependencyWallker 根据调用的DLL模块中的函数推测功能 常见三大dll模块 user32.dll 是Windows用户界面相关应用程序接口,用于包括Windows处理,基本用户界面等特性,如创建窗口和发送消息 包含图形界面操作,可能为图形化界面 gdi...
恶意代码分析及防治研究
qq_58320839的博客
05-16 471
关于恶意代码的防治手段应基于有效的分析结果而制订,并在不断发展,使之更具威慑力,并能针对日益复杂化的威胁作出回应。这就给未来防治恶意代码提供了一种新思路——通过研究最前沿的技术并将其组合,可以在未来对日益增长的网络威胁发起更有效、更全面和更快速的控制,并提供管理更多样化的消除恶意代码系统。(3)木马(Trojan Horse):木马是指伪装成无害程序但实际上包含恶意代码的软件,通过欺骗用户安装、运行及提供技术支持等手段攻击并掌控系统,开启漏洞隙缝逐步窃取、毁坏关键数据,甚至给攻击者反向控制的权限。
恶意代码分析入门
weixin_44032972的博客
05-21 2024
一、恶意代码的定义         恶意代码:也称恶意软件,在大多数计算机入侵事件中都扮演了重要角色。任何以某种方式来对用户、计算机或网络造成破坏的软件,都可以被认为是恶意代码,包括计算机病毒、木马、蠕虫、内核套件、勒索软件、间谍软件等。         恶意代码分析是一种解剖恶意代码的艺术。 二、恶意代码分析目标   &nbsp
恶意代码分析及防治
qq_15156019的博客
05-17 1787
恶意代码分析及防治
恶意代码分析与防治
The_Green_Hand的博客
12-14 1826
目 录 摘 要 1 关键词 1 Abstract 1 Key words 1 一、恶意代码概述 1 (一)认识恶意代码 1 (二)恶意代码分类 2 二、恶意代码分析技术 3 (一)静态分析方法 3 (二)动态分析方法 4 (三)恶意代码分析流程 4 (四)恶意代码分析实例一 5 (五)恶意代码分析实例二 8 三、恶意代码的防治 10 (一)使用优质的杀毒软件 11 (二)安装正版的应用程序 1...
恶意代码分析——基础技术篇
Woolemon的博客
04-05 9133
恶意代码分析目的 获取特征码 撰写分析报告 制作专杀工具 恶意代码分析方法 静态分析基础技术(快速分析技术):检查可执行文件但不查看具体指令的一些技术。静态分析基础技术可以确认一个文件是否是恶意的,提供有关其功能的信息,有时还会提供一些信息让我们生成简单网络特征码。 动态分析基础技术:涉及运行恶意代码并观察系统上的行为,以移除感染,产生有效的检测特征码,或者两者。 静态分析高级技术:主要是对恶意代码内部机制的逆向工程,通过可执行文件装载到反汇编器中,查看程序指令来发现恶意代码做了什么。 动态分析高级技
R语言实战笔记--第九章 方差分析
最新发布
08-25
R语言实战笔记第九章介绍了方差分析的内容。方差分析是一种用于比较两个或多个组之间差异的统计方法。在R语言中,可以使用lm函数进行方差分析的回归拟合。lm函数的基本用法是: myfit <- lm(I(Y^(a))~x I(x^2) I(log(x)) var ... [-1],data=dataframe 其中,Y代表因变量,x代表自变量,a代表指数,var代表其他可能对模型有影响的变量。lm函数可以拟合回归模型并提供相关分析结果。 在方差分析中,还需要进行数据诊断,以确保模型的可靠性。其中几个重要的诊断包括异常观测值、离群点和高杠杆值点。异常观测值对于回归分析来说非常重要,可以通过Q-Q图和outlierTest函数来检测。离群点在Q-Q图中表示落在置信区间之外的点,需要删除后重新拟合并再次进行显著性检验。高杠杆值点是指在自变量因子空间中的离群点,可以通过帽子统计量来识别。一般来说,帽子统计量高于均值的2到3倍即可标记为高杠杆值点。 此外,方差分析还需要关注正态性。可以使用car包的qqplot函数绘制Q-Q图,并通过线的位置来判断数据是否服从正态分布。落在置信区间内为优,落在置信区间之外为异常点,需要进行处理。还可以通过绘制学生化残差的直方图和密度图来评估正态性。 综上所述,R语言实战第九章介绍了方差分析及其相关的数据诊断方法,包括异常观测值、离群点、高杠杆值点和正态性检验。这些方法可以用于分析数据的可靠性和模型的适应性。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [R语言实战笔记--第八章 OLS回归分析](https://blog.csdn.net/gdyflxw/article/details/53870535)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值