病毒分析流程总结

        前段时间拜读了《恶意代码分析实战》一书，算是对整个病毒分析的流程和常用方法有个大致的了解，现在总结一下，也算是给自己做的一个笔记。

        首先，病毒分析师必须具备以下知识：编程、汇编/反汇编、逆向分析、PE文件结构以及一些常用行为分析软件。下面开启我们的旅程。

       

        一、在一个已经感染了病毒的机器上如何找到病毒文件？

               找到病毒才能对其分析，找到病毒文件就是就是分析的第一步，一般来讲，病毒运行必然会创建一个进程，而这个进程就是我们找到他的突破口，一个打开的进程，可以通过任务管理器右键打开文件所在位置来找到其映像文件的地址，这样就能找到病毒文件了

               但是，现在的病毒越来越精明了，你可能会遇到一个病毒将其自身的进程隐藏了，一般来讲，隐藏进程的方式就是“脱链”，在PEB（进程环境块）中 有三条链表，其中一条链表的指向进程，该链表的每一个元素代表着每一个进程，如果想对某进程隐藏，那么进行“脱链”（即删除聊表中的一项）即可，不要奇怪，脱链操作只是在链表中删除，系统中还是存在该进程的，就好像你用CloseHandle关闭一个进程句柄，但是该进程仍然继续运行一样。对于这样一个隐藏了自己的进程，可以用Rootkit工具，如Xuetr、冰刃等进行查看，当然可能还有一些暴利查进程的工具也是可以查到的。

               好了，找到了病毒文件，下面可以对其进行分析了，分析病毒一般是要在虚拟机中运行，如果你不怕死，也可以在自己物理机上