学习笔记-第十八章 恶意代码分析实战

本文档详细记录了第十八章关于恶意代码分析中的加壳和脱壳实验过程。通过分析五个不同程序,分别揭示了脱壳后的原始程序对应,如18-01对应14-01,18-02对应7-02等。在实验中,使用了IDA进行静态分析,OLLYdbg进行动态调试,包括恢复导入表、查找程序入口点和ESP突变等技术,以确定并修正OEP。
摘要由CSDN通过智能技术生成

第十八章 加壳和脱壳

加壳可执行文件的俩个主要目的是缩减程序的大小,阻碍对加壳程序的探测和分析。
1.剖析加壳 
	恶意代码加壳后,分析人员通常只能获得加壳文件,而不能检测原始程序及加壳器。
	要脱壳一个可执行文件,我们必须解开加壳所执行的操作,首先,我们需要理解加壳
	器的工作原理。
	
	所有加壳器都是将一个可执行文件作为输入,输出一个新的可执行文件。被加壳的可
	执行文件经过压缩,加密或者其他转换,目的是使它们难以被识别,难以被逆向工程分析。
	
	多数加壳器用压缩算法压缩原始文件。设计加壳器的目的是让程序难以分析,加壳器通过加
	密原始可执行文件并且实施一些反逆向技术实现,如对抗反汇编,反汇编和反虚拟机等等。
	
	要保持原程序功能,加壳程序需要存储程序中的导入函数表信息。这些信息可以用任何格式
	存储,它们之间有几个共同的策略,重构程序的导入函数表是以恶具有挑战性且费时的操作,
	但这对分析程序功能十分必要。
	
	<1> 脱壳存根。 执行了以下三个步骤:
		[1].将原始程序脱壳到内存中
		[2].解析原始可执行文件的所有导入函数。
		[3].将可执行程序转移到原始的程序入口点(OEP)Original Entry Point
	<2> 加载可执行文件 当加载一个标准的可执行文件时,加载器会首先读取硬盘上可执行文件的
	PE头部信息,然后根据PE头部信息为可执行文件的各个节分配内存。然后,加载器将这些节复
	制到分配的内存空间中。
	
	<3> 解析导入函数表
	<4> 尾部跳转 一旦脱壳存根完成脱壳,他就必须转到OEP运行。转到OEP的指令通常被叫做尾部
	跳转指令。jump指令是最简单且最流行的转移指令。多数恶意的加壳程序试图使用ret或者call指令
	来隐藏这种行为。有时,恶意代码会使用操作系统转移控制的函数来掩盖尾部
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
R语言实战笔记第九章介绍了方差分析的内容。方差分析是一种用于比较两个或多个组之间差异的统计方法。在R语言,可以使用lm函数进行方差分析的回归拟合。lm函数的基本用法是: myfit <- lm(I(Y^(a))~x I(x^2) I(log(x)) var ... [-1],data=dataframe 其,Y代表因变量,x代表自变量,a代表指数,var代表其他可能对模型有影响的变量。lm函数可以拟合回归模型并提供相关分析结果。 在方差分析,还需要进行数据诊断,以确保模型的可靠性。其几个重要的诊断包括异常观测值、离群点和高杠杆值点。异常观测值对于回归分析来说非常重要,可以通过Q-Q图和outlierTest函数来检测。离群点在Q-Q图表示落在置信区间之外的点,需要删除后重新拟合并再次进行显著性检验。高杠杆值点是指在自变量因子空间的离群点,可以通过帽子统计量来识别。一般来说,帽子统计量高于均值的2到3倍即可标记为高杠杆值点。 此外,方差分析还需要关注正态性。可以使用car包的qqplot函数绘制Q-Q图,并通过线的位置来判断数据是否服从正态分布。落在置信区间内为优,落在置信区间之外为异常点,需要进行处理。还可以通过绘制学生化残差的直方图和密度图来评估正态性。 综上所述,R语言实战第九章介绍了方差分析及其相关的数据诊断方法,包括异常观测值、离群点、高杠杆值点和正态性检验。这些方法可以用于分析数据的可靠性和模型的适应性。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [R语言实战笔记--第八章 OLS回归分析](https://blog.csdn.net/gdyflxw/article/details/53870535)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值