- 博客(9)
- 收藏
- 关注
RSS订阅原创 杂谈随想第002篇:博客访问量破万的想法
大概是四天之前,我的CSDN博客访问量终于破万。本来当时就想写一篇文章来好好感慨一下的,可是由于这几天一直在写《病毒木马查杀》系列的“熊猫烧香篇”,不想把这一系列的文章打断,就留在了今天来抒发一下感想。 我很清楚,访问量破万这件事对于很多技术大牛来说根本不算什么,因为他们一篇文章的访问量就能够破万,而我是靠着四十几篇的文章,花了近三个月的时间才取得这个成绩的。本来计算机安
2014-11-22 00:29:18
3050
10
原创 病毒木马查杀实战第008篇:熊猫烧香之病毒查杀总结
一、前言 之前用了六篇文章的篇幅,分别从手动查杀、行为分析、专杀工具的编写以及逆向分析等方面,对“熊猫烧香”病毒的查杀方式做了讨论。相信大家已经从中获取了自己想要的知识,希望大家在阅读完这几篇文章后,能够有一种“病毒也不过如此”的感觉,更希望这些文章能够为有志于在未来参与到反病毒工作的朋友,打下坚实的理论基础。以下就是我在这几篇文章的分析中所总结出来的一些知识点,分为静态分析与动
2014-11-21 12:55:35
5553
原创 病毒木马查杀实战第007篇:熊猫烧香之逆向分析(下)
一、前言 这次我们会接着上一篇的内容继续对病毒进行分析。分析中会遇到一些不一样的情况,毕竟之前的代码我们只要按照流程顺序一步一步往下走,就能够弄清楚病毒的行为,但是在接下来的代码中,如果依旧如此,在某些分支中的重要代码就执行不到了,所以我们需要采取一些策略,走完每个分支,彻底分析出病毒的行为。 二、病毒分析 现在程序执行到了loc_408171位置处:
2014-11-20 15:12:59
4630
原创 病毒木马查杀实战第006篇:熊猫烧香之逆向分析(中)
一、前言 上一篇文章讲解了“熊猫烧香”病毒样本的反汇编代码入口处的分析,虽然尚未研究到病毒的核心部分,但其实我们后续的分析与之前的思想是一致的。而越到核心部分,可能会遇到越来越多的API函数,结合所调用函数的参数进行分析,反而有助于我们更容易地理解病毒的行为。应当将分析出的每一个CALL函数,改为我们能够理解的名字,这往往也有助于对后续程序的理解。 二、病毒功能分析
2014-11-18 15:11:51
3934
原创 病毒木马查杀实战第005篇:熊猫烧香之逆向分析(上)
一、前言 对病毒进行逆向分析,可以彻底弄清楚病毒的行为,从而采取更有效的针对手段。为了节省篇幅,在这里我不打算将“熊猫烧香”进行彻底的分析,只会讲解一些比较重要的部分,大家只要掌握了这些思想,那么就可以处理很多的恶意程序了。一般来说,对病毒的静态分析,我们采用的工具是IDA Pro,动态分析则采用OllyDbg。由于后者会使病毒实际运行起来,所以为了安全起见,最好在虚拟机中操作。
2014-11-17 12:29:18
8730
10
原创 病毒木马查杀实战第004篇:熊猫烧香之专杀工具的编写
一、前言 如果是非感染型的病毒,完成行为分析之后,就可以开始编写专杀工具了。当然对于我们这次研究的对象——“熊猫烧香”来说,其实通过之前的行为分析,我们并没有得出它的所有恶意行为,毕竟还没有对其进行逆向分析。所以这里仅针对我们上一篇文章所得出的结果,来进行专杀工具的编写。一般来说,专杀工具既可以用批处理实现,又可以用编程语言编写,但是现实中更多的还是用后者进行制作的,因为其更加严
2014-11-09 23:50:44
8440
4
原创 病毒木马查杀实战第003篇:熊猫烧香之行为分析
一、前言 为了分析“熊猫烧香”病毒的行为,我这里使用的是Process Monitor v3.10版。关于这款软件的使用,可参考以下三篇文章: 《文档翻译第001篇:ProcessMonitor帮助文档(Part 1)》 《文档翻译第002篇:ProcessMonitor帮助文档(Part 2)》 《文档翻译第003篇:Pro
2014-11-04 22:50:12
5455
5
原创 病毒木马查杀实战第002篇:熊猫烧香之手动查杀
一、前言 作为本系列研究的开始,我选择“熊猫烧香”这个病毒为研究对象。之所以选择这一款病毒,主要是因为它具有一定的代表性。一方面它当时造成了极大的影响,使得无论是不是计算机从业人员,都对其有所耳闻;另一方面是因为这款病毒并没有多高深的技术,即便是在当时来讲,其所采用的技术手段也是很一般的,利用我们目前掌握的知识,足够将其剖析。因此,我相信从这个病毒入手,会让从前没有接触过病毒研究
2014-11-03 14:06:17
6035
8
原创 病毒木马查杀实战第001篇:基本查杀理论与实验环境配置
一、前言 《病毒木马查杀》系列以真实的病毒木马(或统称为恶意程序)为研究对象,通过现有的技术手段对其分析,总结出它的恶意行为,进而制定出相应的应对方法(如编写专杀工具),对其彻底查杀。当然,本系列更多地是讨论如何应对某一个特定的病毒,而不涉及广义的杀毒软件的编写。因为如今杀软的原理非常复杂,并不是一个人就能够完成的,加之我个人水平有限,因此不会涉及杀软编写的问题。不过,我会在以后
2014-11-02 13:31:33
6928
4
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人