静态分析基础技术

最新推荐文章于 2023-01-24 20:39:49 发布
最新推荐文章于 2023-01-24 20:39:49 发布
阅读量776 收藏 3
点赞数
分类专栏: Windows安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/levones/article/details/88233481
版权

静态分析基础技术

原文链接:https://hvnt3r.top/2019/01/静态分析基础技术/

知识点

我觉得安全圈的思路都是差不多的,跟渗透测试一样,对一个恶意软件的分析也需要前期的信息收集阶段来帮助我们对目标有一个大致的了解和认识,方便确定下一步工作的方向。

**Virus Total:**首先,拿到一个恶意软件如果不涉密的话可以直接上传到VT上看一下,这样差不多能确定此恶意软件的最早爆发日期和各种关键的信息。

哈希值:hash值就相当于恶意软件的指纹,是一个很重要的信息。

**关键字符串:**可以使用IDA Pro或者Strings软件来查看程序中关键的字符串。

**加壳与代码混淆:**一般来说,对软件加壳可以压缩软件代码占用的磁盘空间,使软件体积更小,另一方面,有的壳可以加密程序自身信息,是得程序难以通过逆向手段来对程序进行分析,是对程序本身的一种保护,大部分形况下加壳技术用来保护程序版权,但是恶意软件使用加壳方式来隐藏恶意代码,使得代码逻辑难以分析,这时候就需要我们使用已有的脱壳软件或者自己写脱壳脚本对软件进行脱壳还原。

使用PEview查看IMAGE_SECTION_HEADER.text节头部信息,如果虚拟大小比原始大小大得多,意味着这个程序在内存中占用的空间比在磁盘上多得多,那么这个程序很可能是加壳的程序,.data节是例外。

**PE文件格式:**PE文件格式就不多说了,网上有很多资料,要熟悉PE格式,方便后面的学习。

**静态链接|动态链接|运行时链接|链接库与函数:**程序的导入表和导出表和一些用到的库对我们而言十分重要,静态链接由于重复占用内存因而不常见,运行时链接在正常的程序中一般见不到,但是在恶意软件中可能会出现,至于当需要用到函数的时候才会使用链接,增强了隐蔽性。另外一些Windows API允许调用者导入没有在程序头文件中导入的函数,最常见的两个是LoadLibraryGetProcAddress,有时还可能会出现LdrGetProcAddressLdrLoadDll,当程序中出现这些函数库时,安全人员无法通过静态分析的手法来分析程序链接的函数。

Dependency Walker: 一款可以查看可执行文件动态链接函数的程序,下载链接。

**Resource Hacker:**使用此工具来产看程序的资源节。

导入函数和导出函数是为了提高代码复用性的一种手段,导出函数通常出现在dll文件中,而exe文件中一般没有导出函数,如果发现一个exe文件有很多导出函数的话我们就需要多多留意。

**编译时间:**使用Delphi语言编写的程序有着统一的编译时间:1992年6月19日,所以说,如果有一个程序的编译时间为1992年6月19日,那么这个程序很可能是用Delphi编写的

课后练习

Lab1-1

这个实验使用Lab01-01.exe和Lab01-01.dll文件,使用本章描述的工具和技术来获取关于这些文件的信息。

1.将文件上传至VT进行分析并产看报告,文件匹配到了已有的反病毒文件特征了吗?

按照题目要求上传至VT查看结果即可。

2.这些文件是什么时候编译的?

其实VT上已经显示了此程序的MetaData即元信息:

CodeSize	4096
EntryPoint	0x1820
FileType	Win32 EXE
FileTypeExtension	exe
ImageFileCharacteristics	No relocs, Executable, No line numbers, No symbols, 32-bit
ImageVersion	0.0
InitializedDataSize	8192
LinkerVersion	6.0
MIMEType	application/octet-stream
MachineType	Intel 386 or later, and compatibles
OSVersion	4.0
PEType	PE32
Subsystem	Windows command line
SubsystemVersion	4.0
TimeStamp	2010:12:19 17:16:19+01:00
UninitializedDataSize	0

这里已经显示了程序的编译时间为2010:12:19,另外可以通过软件PEexplore来查看时间戳:

3.这两个文件中是否存在迹象说明他们是否被加壳或者混淆了?如果是,这些迹象在哪里。

VT上显示的结果为此程序加壳,壳是穿山甲(Armadillo)

Packers
PEiD	Armadillo v1.71

但实际山此程序并没有加壳,可能是由于VT是采用机器学习来判断程序是否加壳存在一定的误判率。

.text节表信息:

Name Virtual Address Virtual Size Raw Size Entropy
.text 4096 2416 4096 4.45

PEiD查看查壳发现程序无壳。

4.是否有导入函数显示出这个恶意代码是做什么的?如果是,是哪些导入函数。

我个人习惯直接用IDA Pro查看导入函数:

Lab01-01.exe:

Address	Ordinal	Name	Library
00402000		CloseHandle	KERNEL32
00402004		UnmapViewOfFile	KERNEL32
00402008		IsBadReadPtr	KERNEL32
0040200C		MapViewOfFile	KERNEL32
00402010		CreateFileMappingA	KERNEL32
00402014		CreateFileA	KERNEL32
00402018		FindClose	KERNEL32
0040201C		FindNextFileA	KERNEL32
00402020		FindFirstFileA	KERNEL32
00402024		CopyFileA	KERNEL32
0040202C		malloc	MSVCRT
00402030		exit	MSVCRT
00402034		_exit	MSVCRT
00402038		_XcptFilter	MSVCRT
0040203C		__p___initenv	MSVCRT
00402040		__getmainargs	MSVCRT
00402044		_initterm	MSVCRT
00402048		__setusermatherr	MSVCRT
0040204C		_adjust_fdiv	MSVCRT
00402050		__p__commode	MSVCRT
00402054		__p__fmode	MSVCRT
00402058		__set_app_type	MSVCRT
0040205C		_except_handler3	MSVCRT
00402060		_contr
最低0.47元/天 解锁文章
Hvnt3r
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
动态分析基础技术
Hvnt3r的博客
03-06 3769
动态分析基础技术 原文链接:https://hvnt3r.top/2019/01/动态分析基础技术/ 知识点 与静态分析不同,动态分析是将恶意代码加载运行之后观察代码运行状态的一个过程,一般来说,对恶意代码进行分析时先进行静态分析来大致了解软件的功能再进行动态分析以了解恶意代码运行时的更多细节,静态分析与动态分析都有各自的有点以及局限性,本章重点介绍了动态分析的一些手法和技巧。 **用沙箱来分析恶...
Armadillo tools 比较全的脱壳工具
10-04
包含以下脱壳工具: ARMA.INTRUDER.0.4 ARMACRC.V1 ARMADETACH.V1 ARMADETACHME ARMADILLO FIND PROTECTED V1 ARMADILLO KILLER 2 ARMADILLO REDUCER 1.7 ARMADILLO.DLL&OCX ARMADILLO.SECTIONS.STRIPPER.1.22 ARMADILLO_KEY_GENERATOR_1 ARMADILLOCLEANER ARMADILLOTOOLS_V1_2 ARMADUMPER.V1 ARMAEV ARMAUNPACK ARMINLINE V0 DEATTACHER HWID_CHANGER_V.0 LOADER-10 MM_DILLODIE_V1 NANOMITES.KILLER.BY UIF-FINAL-PLUS UIF-V UNARM ArmaGeddon_v1_1_.0_by_Condzero ArmaGeddonV1.2g ArmInline v0.96f (Eng) ArmKiller_v1_2_1_Tool_by__TLG_XQuader 另外,压缩包里添加了 (1)去除试用期通用工具Trial-Reset.exe。 (2) Armadillo Find Protected V1.9汉化版 声明:Trial-Reset不是病毒!只是被杀毒软件认为是病毒。
恶意代码分析实战 lab1-4
Yale的博客
02-21 574
q3:文件是什么时候编译的 载入petools 文夹头-》时间、日期标志 可以看到时间。 Q4: 有没有任何导入函数能够暗示出这个程序的功能?如果是,是哪些导入函数,它们会告诉你什么 peid载入 可以看到一些dll 比如advapi32.dll 有一些权限、注册表相关的操作 再比如kernel.dll有很多文件相关的操作 q6: ...
恶意代码分析实战 1 静态分析基础技术
农夫果园好好喝的博客
01-24 1549
对Lab01-01.exe和Lab01-01.dll进行分析首先查看Lab-01-01.exe。然后查看Lab01-01.dll。这两个文件应该都是恶意文件。查看PE文件的结构:通过PE Tools查看文件头:Lab-01-01.exe 编译时间是2010年12月19日 16:16:19.Lab-01-01.dll 编译时间是2010年12月19日 16:16:38.这两个文件编译的时间非常接近,极有可能就是同时编译的。两个文件都没有加壳迹象。
IDA反汇编/反编译静态分析iOS模拟器程序
zkdemon的专栏
06-24 9065
转载自:http://blog.csdn.net/hursing (一)利用IDA和LLDB探索WebCore的C++类的继承关系 开刀的类名叫 PluginWidgetIOS,利用lldb可以得到: [plain] view plain copy (lldb) image lookup -r -s PluginWidgetIOS   7 
chapter1 静态分析技术-08PE文件分析 PEview
weixin_43925963的博客
11-22 792
PEVIEW查看PE文件
时序分析之1静态分析基础
04-27
通过深入学习“时序分析之1静态分析基础”,我们可以掌握如何运用静态分析技术来改进程序的时序特性,从而提升软件的性能和可靠性。这包括理解和使用各种静态分析工具,以及如何解读和解决分析结果中的问题。对于...
时序分析之1静态分析基础.zip-综合文档
05-19
本综合文档主要围绕“时序分析之1静态分析基础”展开,旨在为读者提供一个全面的理论与实践结合的理解框架。 时序分析是一种用于理解和预测系统行为的技术,尤其是在复杂并发环境中。它关注的是系统中的事件发生...
静态分析资料汇总和学习笔记
03-09
静态分析技术详解及其在软件应用安全中的应用》 静态分析技术是一种在程序运行之前对其代码进行检查,预测潜在问题的分析方法。这种技术的核心在于,它能够在无需实际执行程序的情况下,评估代码的安全性、可靠性...
静态时序分析_fpga_静态时序分析_
09-29
在电子工程领域,特别是针对FPGA(Field-Programmable Gate Array)的设计和优化,静态时序分析(Static Timing Analysis,STA)是一项至关重要的技术。它是一种无输入激励的时序验证方法,能够准确评估数字电路的...
脱壳Armadillo 1.xx - 2.xx -> Silicon Realms Toolworks
11-15
Armadillo 1.xx - 2.xx -> Silicon Realms Toolworks脱壳
静态分析入门+Soot实践
11-18
编译器的IR(Intermediate Representation)如3-Address Code(3AC)和Static Single Assignment(SSA)形式,是静态分析基础,因为它们提供了一种语言无关且接近机器代码的表示,便于分析和优化。 总的来说,...
病毒分析系列2 | 使用PE工具进行初步静态分析
SpaceSec的博客
11-02 5874
接上篇。进行病毒分析时,在进行具体的病毒行为分析前,需要或许可疑文件的基本信息,此时可以使用pe工具进行分析和获取在该文章中所涉及的知识主要是pe文件格式的相关知识,使用文字进行原理说明会相对冗余。
20145233计算机病毒实践2之静态分析
weixin_30835923的博客
06-07 127
20145233计算机病毒实践2之静态分析 Lab01-01静态分析 PEiD 可以看出来第一程序没有使用任何加壳工具,直接使用C语言编程的 info可以查看仔细的分析,upx应该是压缩壳病毒 PE Explorer 这个静态可以发现程序什么时候编好的,并且可以看到几个基地址 PEview PEview查看32位可移植可执行(PE)和组件对象文件格式(COFF)文件的结构...
Pe文件静态分析
LoopherBear的博客
05-02 1547
Pe文件静态分析能够获取到哪些信息 在分析一个样本之前,通常会需要静态分析,如何从PE文件格式中获取到需要的信息就很重要。只有在静态分析时对文件的一些布局信息有了理解,例如是是否被加壳了(虽然可以用查壳工具,但是还是需要知道一些原理),文件时图形化界面(GUI)还是命令执行程序(CUI)等信息的提取和掌握,分析时才会更清晰要做什么,做到心中有数。下面是在阅读《恶意软件分析实战》第一章中的一些整理笔...
各种语言常用壳的特征
weixin_30432007的博客
04-05 586
闲得无聊搜集的一些OEP和Section,希望能对研究脱壳的朋友们帮上一点小忙。**********************************************************************BorlandC++1999.text.data.tls.rdata.idata.edata.rsrc.reloc00401000Find>$/EB...
病毒分析工具和使用方法(一)
热门推荐
lirunling的博客
11-13 1万+
加壳验证工具 所谓病毒加壳,是指经过系列数学运算,将可执行程序文件或动态链接库文件的编码进行改变(目前还有一些加壳软件可以压缩、加密驱动程序),以达到缩小文件体积或加密程序编码,从而使病毒文件逃过杀毒软件的查杀。查看文件是否加壳最常用的工具是PEiD。 PEiD(PE Identifier)是一款著名的查壳工具,其功能强大,几乎可以侦测出所有的壳,其数量已超过470 种PE 文档 的加壳类型和...
脱壳-Armadillo1.x
谢绝留言与私信
02-03 1273
前言今天练习脱Armadillo. 记录下流程点.记录查壳PEID => Armadillo 1.xx - 2.xx -> Silicon Realms Toolworks [Overlay] DetectItEasy => Armadillo(6.X-9.X)[-] RDG => Armadillo 脱壳环境目标程序在原版WinXpSp3虚拟机中启动不了, 可能有虚拟机检测吧. 在真机环境(
静态分析基础技术实验感想
最新发布
06-01
作为一个AI语言模型,我没有实际参与静态分析的实验,因此无法给出实验感想。但是,从理论上来说,静态分析是一种非常有用的技术,可以帮助开发...因此,学习和掌握静态分析基础技术对于软件开发人员来说非常重要。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值