2019.6.25
今天是“带薪自习”的一天…云桌面一直没弄好,LM给了一本书看
1)恶意代码检测:基于主机的特征码,网络特征码
2)恶意代码分析技术:静态分析(简单分析),动态分析(沙盒),静态高级分析(反汇编),动态高级分析(调试器)
3)内核套件是用来隐藏恶意代码的恶意代码
4)静态分析基础6步分析:
|
–1.反病毒引擎扫描 2.哈希分析(标签,分享,在线搜索查看样本是否已经被分享过) 3.字符串搜索 4.查壳 5.根据PE文件格式分析 6.链接库,函数
5)常见DLL程序
6)函数命名约定: EX , A , W 后缀分别表示重命名函数的新版,ASCII类型的输入和宽字节类型的输入
7)通过使用的函数来分析推测程序的行为
ps: SetWindowsHookEx函数: 作用是用于指定当某个特定事件发生时调用哪个函数(例如敲击键盘这个事件发生时就记录下来)
ps: 子系统(位于可选映像头)描述了程序的类型(控制台或者是图形界面)
8)查看分节大小,若虚拟大小比原始数据大得多,则说明节在内存中占用了比磁盘上存储多很多的空间,往往是存在壳的
9)虚拟机分析步骤:
|
–1.从一个干净快照开始 2.将恶意代码拷入虚拟机 3.分析 4.记录并传输记录到宿主机 5.恢复至干净快照
10)Windows下运行.dll程序,使用rundll32.exe,格式如下:
c:>rundll32.exe DLLname , Export arguments
11)无论DLL何时被加载,DLLMain函数总是被执行
12)使用进程浏览器查看进程(Verify选项可以验证进程,但是通过进程替换技术可以break)
ps:一种简单的识别方法是比较磁盘中和内存里的字符串是否有很大区别
13)使用Dependency Walker 可以显示进程导入的DLL列表,可以将这个列表与进程浏览器上的DLL列表比较来判断某个进程是否加载了恶意DLL
14)Regshot可以用来比较注册表快照
15)模拟网络:
|
–ApateDNS:(DNS请求捕获和重定向) ps: 设置重定向为NXDOMAIN可以获取恶意程序在找不到第一个域名时搜寻的其他域名
–NC: 监听端口流量
–INetSim:模拟各种服务
16)互斥量:保证同意时间只有一个恶意代码在运行
460
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
