数据软件分析(一)——静态分析

最新推荐文章于 2024-04-24 20:55:11 发布
最新推荐文章于 2024-04-24 20:55:11 发布
阅读量629 收藏 1
点赞数
分类专栏: 自我学习 恶意软件 文章标签: 数据分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cwllll/article/details/125497218
版权

基于恶意科学的数据软件分析

将学习本书的过程作记录分享。

数据科学是一个不断增长的算法工具集合,可以让我们通过使用统计学、数学和巧妙的统计数据可视化技术来理解和预测数据。一般来说,数据科学有三个组成部分:机器学习、数据挖掘和数据可视化。

第一章 恶意软件静态分析基础

静态分析:是对程序文件的反汇编代码、图形图像、可打印字符串和其他磁盘资源进行分析,是一种不需要实际运行程序的逆向工程。

简单来说,就是仅仅通过来分析程序文件。

1.1 windows可移植可执行文件(PE)

文件格式:

  • PE头:定义了程序的一般属性,如二进制代码、图像、压缩数据和其他程序属性。包括了时间戳字段(攻击者可能伪造,但有时候会忘记伪造)。

  • 可选头:定义了PE文件中程序入口点的位置。即告诉了逆向工程师从哪里开始进行逆向工程。

  • 节头:描述了PR文件中包含的数据节。

    • .text节:可执行的x86代码节。(每个PE程序的节头至少包含一个)
    • .idata节:导入节,包含导入地址表IAT。指出了程序所调用的库,很可能泄露恶意软件的高级功能。
    • 数据节:包括.rsrc.、.data和.rdata等节,存储程序使用的鼠标光标图像、按钮图标、音频和其他媒体等。

  • .reloc节

1.2 用python的pefile解析PE文件格式
import pefile
pe = pefile.PE("ircbot.exe")

#打印 PE文件的各个节
for section in pe.sections:
print(section.Name)
1.3 检查恶意软件的图片

使用wrestool从二进制文件中提取图像

mkdir images
wrestool -x fakepdfmalware.exe -output=images
icotool -x -o images images/*.ico

先创建一个目录来保存所提取的图像,接着使用icotool提取并将Adobe中图像格式中所有资源转换到.png图形。

1.4检查恶意软件的字符串
strings 文件路径 | less
strings 文件名 > 文件.txt

将文件中所有最小长度为4字节的可打印字符串逐行打印到终端上。

可以使用 - n 选项更改最小字符串长度。

strings -n 10 文件名

总结

本章对静态恶意软件分析有了一定的认识,了解了定义Windows操作系统.exe和.dll文件的PE文件格式,还了解了如何使用python库pefile解析实际场景中的恶意软件ircbot.exe二进制文件。以及学习了图像分析和字符串分析等静态分析技术。

麻吉叽
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
实验代码静态分析 软件工程实验报告
09-25
用于软件工程实验的报告 实现静态代码的分析 通过静态代码分析实验可以更加熟悉的掌握静态代码分析工具。
软件加密技术内幕
03-19
chm格式,目录如下。 第1章 PE文件格式深入研究 1.1 PE文件格式格式纵览 1.1.1 区块(Section) 1.1.2 相对虚拟地址(Relative Virtual Addresses) 1.1.3 数据目录 1.1.4 输入函数(Importing Functions) 1.2 PE文件结构 1.2.1 The MS-DOS头部 1.2.2 IMAGE_NT_HEADERS头部 1.2.3 区块表(The Section Table) 1.2.4 各种块(Sections)的描述 1.2.5 输出表 1.2.6 输出转向(Export Forwarding) 1.2.7 输入表 1.2.8 绑定输入(Bound import) 1.2.9 延迟装入数据(Delayload Data) 1.2.10 资源 1.2.11 基址重定位(Base Relocations) 1.2.12 调试目录(DebugDirectory) 1.2.13 NET头部 1.2.14 TLS初始化 1.2.15 程序异常数据 第2章 PE分析工具编写 2.1 文件格式检查 2.2 FileHeader和OptionalHeader内容的读取 2.3 得到数据目录(Data Dircetory)信息 2.4 得到块表(SectionTable)信息 2.5 得到输出表(ExportTable)信息 2.6 得到输入表(ImportTable)信息 第3章 Win32 调试API 3.1 Win32调试API原理 3.1.1 调试相关函数简要说明 3.1.2 调试事件 3.1.3 如何在调试时创建并跟踪一个进程 3.1.4 最主要的循环体 3.1.5 如何处理调试事件 3.1.6 线程环境详解 3.1.7 如何在另一个进程中注入代码 3.2 利用调试API编写脱壳机 3.2.1 tElock 0.98脱壳简介 3.2.2 脱壳机的编写 3.3 利用调试API制作内存补丁 3.3.1 跨进程内存存取机制 3.3.2 Debug API机制 第4章 Windows下的异常处理 4.1 基本概念 4.1.1 Windows下的软件异常 4.1.2 未公开的可靠吗 4.2 结构化异常处理(SEH) 4.2.1 异常处理的基本过程 4.2.2 SEH的分类 4.2.3 相关API 4.2.4 SEH相关数据结构 4.3 异常处理程序设计 4.3.1 顶层(top-level)异常处理 4.3.2 线程异常处理 4.3.3 异常处理的堆栈展开(Stack unwind) 4.3.4 异常处理程序设计中的几个注意事项: 4.4 SEH的简单应用 4.4.1 Win9x下利用SEH进ring0 4.4.2 利用SEH实现对自身的单步自跟踪 4.4.3 其它应用 4.5 系统背后的秘密 4.6 VC是如何封装系统提供的SEH机制的 4.6.1 扩展的EXCEPTION_REGISTRATION级相关结构 4.6.2 数据结构组织 4.7 Windows XP下的向量化异常处理(VEH) 第5章 软件加密技术 5.1 反调试技术(Anti-Debug) 5.1.1 句柄检测 5.1.2 SoftICE后门指令 5.1.3 int68子类型 5.1.4 ICECream子类型 5.1.5 判断NTICE服务是否运行 5.1.6 INT 1 检测 5.1.7 利用UnhandledExceptionFilter检测 5.1.8 INT 41子类型 5.2 反跟踪技术(Anti-Trace) 5.2.1 断点检测 5.2.2 利用SEH反跟踪 5.2.3 SMC技术实现 5.3 反加载技术(Anti-Loader) 5.3.1 利用TEB检测 5.3.2 利用IsDebuggerPresent函数检测 5.3.3 检查父进程 5.4 反DUMP技术(Anti-Dump) 5.5 文件完整性检验 5.5.1 CRC校验实现 5.5.2 校验和(Checksum) 5.5.3 内存映像校验 5.6 反监视技术(Anti-Monitor) 5.6.1 窗口方法检测 5.6.2 句柄检测 5.7 反静态分析技术 5.7.1 扰乱汇编代码 5.7.2 花指令 5.7.3 信息隐藏 5.8 代码与数据结合技术 5.9 软件保护的若干忠告 第6章 加壳软件编写 6.1 外壳编写基础 6.1.1 判断文件是否是PE格式的EXE文件 6.1.2 文件基本数据的读入 6.1.3 额外数据保留 6.1.4 重定位数据的去除 6.1.5 文件的压缩 6.1.6 资源区块的处理 6.1.7 区块的融合 6.1.8 输入表的处理 6.1.9 外壳部分的编写 6.1.10 将外壳部分添加至原程序 6.1.10 小结 6.2 加壳程序综合运用的实例 6.2.1 程序简介 6.2.2 加壳子程序(WJQ_ShellBegin()) 6.2.3 PE外壳程序 6.2.4 加进Anti技术 6.2.5 通过外壳修改被加壳PE 6.2.6 VC++调用汇编子程序 第7章 如何让壳与程序融为一体 7.1 序 7.1.1 为何需要壳和程序一体化 7.1.2 为阅读此章节需要的知识 7.1.3 基于此章节用的的例子程序说明 7.2 欺骗检查壳的工具 7.2.1 fi是如何检查壳的 7.2.2 欺骗fi 7.3 判断自己是否给脱壳了 7.3.1 判断文件尺寸 7.3.2 检查标记 7.3.3 外部检测(使用dll) 7.3.4 hook 相关的api(防止loader和调试api) 7.4 使用sdk把程序和壳溶为一体 7.4.1 sdk的意义 7.4.2 做一个带sdk的壳 7.5 后记:关于壳和程序的思考 第8章 Visual Basic 6 逆向工程 8.1 简介 8.2 P-code传奇 8.3 VB编译奥秘 8.4 VB与COM 8.5 VB可执行程序结构研究 8.6 VB程序事件解读 8.7 VB程序图形界面(GUI)解读 8.8 VB程序执行代码研究 8.9 我们的工具 8.10 VB程序保护篇 附录A 在Visual C++中使用内联汇编 附录B 在Visual Basic中使用汇编
【Java入门】数组
qq_53662373的博客
07-19 289
JVM内存划分 数组 二维数组
Python下pefile的使用
BetaBin
04-24 9245
其实在pefile主页的Wiki上已经详细介绍了,https://code.google.com/p/pefile/wiki/UsageExamples#Listing_the_exported_symbols这里给出
python之pefile模块(解析PE)
B_H_L的专栏
07-18 1万+
发现很多的朋友经常用到PE格式相关的开发,如解析PE文件的格式,获取相关的内容。比如常常用到的静态的病毒启发式检测模型的建立、病毒样本分类、查壳脱壳等。 搜索了一下发现论坛里面没有我要讲的这个东西,于是我在这里向大家推荐pefile这个python库。 这个是基于MIT licence的一个开源项目,你可以在上面做更多的开发。 开发包的下载地址 http://code.google.c
静态分析实验数据集总结[1]
weixin_34318956的博客
09-07 250
一直不太清楚,有没有类似NASA MDP和SIR的标准数据集,供静态分析工具对其功能进行验证和对比性实验。今天草草翻了一下POPL 2010在静态分析方面的文章,其中这篇文章: W. R. Harris, S. Sankaranarayanan, F. Ivan, I, and A. Gupta, "Program analysis via satisfiability modulo path ...
读书笔记1
Super_FROG的博客
06-16 191
读书笔记1 《基于数据科学的恶意软件分析》 恶意软件的定义 达成恶意目的而编写的可执行程序。尽管一些老练的攻击者有时为逃避恶意软件的监视系统而不使用恶意软件,但在目前的网络攻击中,恶意软件仍然是攻击者使用的主要技术。 恶意软件静态分析 静态分析是对程序文件的反汇编代码、图形图像、可打印字符串和其他磁盘资源进行分析,是一种不需要实际运行程序的逆向工程。 PE(Portable Executable)文件 作用: a)告诉Windows如何把程序加载到内存中(header的作用) b)为运行程序提供在执行过
软件静态分析以及工具Klocwork介绍
08-07 1万+
软件静态分析以及工具Klocwork介绍 1. 软件静态分析 软件静态分析无需执行程序代码,就能发现代码的质量和安全问题,这种技术能够把缺陷的发现和解决时间向前推移至编码阶段。从而显著降低缺陷解决的成本,提高软件的质量。 一般来说,静态分析的准入条件是代码能够通过编译,而它的退出条件则是所报告的可能存在的缺陷都得到合理的评估。 2. 软件静态分析与编译,代码审查,动态测试的关系  
静态分析工具PMD使用说明 (文章来源: Java Eye)
热门推荐
coding for life
12-13 4万+
<br /><br />质量是衡量一个软件是否成功的关键要素。而对于商业软件系统,尤其是企业应用软件系统来说,除了软件运行质量、文档质量以外,代码的质量也是非常重要的。软件开发进行到编码阶段的时候,最大的风险就在于如何保证代码的易读性和一致性,从而使得软件的维护的代价不会很高。<br />在软件开发的过程中,以下几种情形随处可见: <br />1) 软件维护时间长,而且维护人员的积极性不高: <br /> 做过软件维护的开发人员,尤其是在接手不是自己开发产品的源码的时候,即使有良好的文档说明,仍然会对代码中
软件分析学习笔记】3:静态程序分析(Static Program Analysis)介绍
LauZyHou的笔记
03-06 5152
最近的南大软件分析课,讲的就完全是静态分析的内容,目前先跟着这个课学习软件分析的内容,北大熊老师的课光看课件太难懂了。 1 PL和静态分析的背景 之前吴老师也提到,做形式化也是在做PL(Programing Language)。这里李老师将PL分成三部分: 理论部分:语言设计、类型系统、形式语义和程序逻辑等。即在理论上构建出一个语言。 环境部分:编译、运行时系统等。即相应的支撑语言运行的一套系统...
严蔚敏《数据结构》源码 顺序表——二叉树
06-08
目前写在了图,之后的内容会在github上持续更新,数据结构系列更新完之后,可能会更新算法的教程(参考屈婉玲版《算法设计与分析》)希望可以帮到各位!! InitList.cpp------顺序表 LinkList.cpp------链表 ...
雨田静态分析系统 v2.0.0官方版.zip
07-13
A5下载站向大家推荐一款非常不错的静态分析工具软件——雨田静态分析系统。雨田静态分析系统依据MISRA为依据,可以对.c文件进行静态分析,并具有多元化的分析方式,包括基本指标分析数据分析、复杂度分析、循环...
《新媒体数据挖掘——基于R语言》课件
05-29
第1章 为什么学习R语言 1 1.1 R是什么 2 1.1.1 R是yi款悠秀的现代科研 软件 2 1.1.2 R的优势与不足 3 1.1.3 R和Python的区别 3 1.2 计算社会科学的兴起——以计算 传播学为例 4 1.2.1 什么是计算社会科学 4 1.2.2 ...
谭浩强C语言程序设计,C++程序设计,严蔚敏数据结构,高一凡数据结构算法分析与实现.rar )
06-13
*5.6 C++处理字符串的方法——字符串类与字符串变量 5.6.1 字符串变量的定义和引用 5.6.2 字符串变量的运算 5.6.3 字符串数组 5.6.4 字符串运算举例 习题 第6章 指针 6.1 指针的概念 6.2 变量与指针 6.2.1 定义...
保证代码运行质量的利器——PurifyPlus
03-02
要保证并提高代码质量,可以从多个角度入手,譬如良好的设计、统一的编码规范、强化的代码评审、有效的代码静态分析等,除此之外,我们还应该从代码运行分析入手,发现软件的性能和内存瓶颈,保证代码的运行质量。...
Python_AI库 matplotlib扩展知识
noah__zhao的博客
04-24 823
总之,matplotlib作为Python中最为强大的数据可视化工具之一,具有广泛的应用前景和巨大的发展潜力,特别是在AI领域有着重要的地位,也是我们把matplotlib列入AI专栏介绍的主要原因。相比之下,matplotlib则结合了Python编程的灵活性和强大的数据处理能力,使得用户可以在分析数据的同时轻松实现数据的可视化。而matplotlib,作为Python中最为流行的数据可视化库之一,以其强大的功能和灵活性,受到了广大数据分析师和科研工作者的青睐。
基于NFV的虚拟化BRAS组网方案.docx
04-27
5G通信行业、网络优化、通信工程建设资料。
299-煤炭大数据智能分析解决方案.pptx
04-27
299-煤炭大数据智能分析解决方案.pptx
工资汇总打印税务计算系统-(Excel函数版)
最新发布
04-27
使用说明: 1、各月工资表,已用公式设置完毕,请在AI1单元格填入月份本表自动显示数据,您再按实际情况稍加修正,工资就完成了! 2、使用时,请把一月份工资表中公式的数据,按你的实际情况修改,之后把一月份工资表复制到2至12月就行了。以后再用时参阅第一条说明。 3、养老保险、失业保险、医疗保险、住房公积金 自动生成,但各单位的比例不同,请自行修改公式中的参数。 4、AK 列至 BD 列是报税资料,自动生成。 5、“四联工资单”只须输入员工编号与选择月份,便可自动取数;请根据需要任选。 6、“工资条”全部自动生成;有单行与双行两种,请任选使用。使用工资条时,请在《个税报告》表的V9单元格选择月份。 7、《扣缴个人所得税报告表》自动生成,请在V9单元格选择月份。请不要随意改动。 8、加班工资、考勤应扣,按每月30天计算;养、失、医、房 项目提取基数与比例亦应按单位规定进行修改。 9、各表均设了保护,但未设密码,您尽可撤消,做您想作的事。 10、打印工资表时,可将不需用的列
spark数据分析实战——奥运会
07-27
引用\[1\]:在过去的两个月里,Databricks公司举办了一场会议,将数据团队聚集在一起,共召开220多个会议,有无数机会与同行交流——超过50,000名数据科学家、数据工程师、分析师、商业领袖和其他数据专业人士。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值