Pe文件静态分析

最新推荐文章于 2023-05-03 20:13:42 发布
VIP文章 最新推荐文章于 2023-05-03 20:13:42 发布
阅读量1.5k 收藏 5
点赞数
分类专栏: 病毒分析 x86
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/loopherbear/article/details/105891557
版权

Pe文件静态分析能够获取到哪些信息

在分析一个样本之前,通常会需要静态分析,如何从PE文件格式中获取到需要的信息就很重要。只有在静态分析时对文件的一些布局信息有了理解,例如是是否被加壳了(虽然可以用查壳工具,但是还是需要知道一些原理),文件时图形化界面(GUI)还是命令执行程序(CUI)等信息的提取和掌握,分析时才会更清晰要做什么,做到心中有数。下面是在阅读《恶意软件分析实战》第一章中的一些整理笔记,希望为后续的学习和分析中提供一些基础理论知识来支撑。

程序的基本信息特征

采集程序的md5 sha1 sha-256的信息,之后到virutotal hybird anyrun等在线沙箱去做分析,查看一些分析报告的信息。这里推荐使用hashmyfiles,如下

在这里插入图片描述
使用上述特征到在线分析网站查找即可。如下是virutotal的查找结果

最低0.47元/天 解锁文章
LoopherBear
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PE文件静态分析工具源码
06-29
一个PE文件静态分析工具(附带源码) 自己在学习PE文件格式中写的分析工具,附带源程序。采用VC2003编译。对PE文件各个部分都有说明,希望对大家有用。
chapter1 静态分析技术-08PE文件分析 PEview
weixin_43925963的博客
11-22 756
PEVIEW查看PE文件
利用AI+大数据的方式分析恶意样本(四十三)
至臻求学,胸怀云月
05-03 1287
一篇USENIX 2023关于人类与ML分析malware差别的文章阅读
基于PE静态结构特征的恶意软件检测方法 (2013年)
05-26
针对现有检测方法的不足,提出了一种通过挖掘PE文件结构信息来检测恶意软件的方法,并用最新的PE格式恶意软件进行了实验。结果显示,该方法以99.1%的准确率检测已知和未知的恶意软件,评价的重要指标AUC值是0.998,已非常接近最优值1,高于现有的静态检测方法。同时,与其他方法相比,该检测方法的处理时间和系统开销也是较少的,对采用加壳和混淆技术的恶意软件也保持稳定有效,已达到了实时部署使用要求。此外,现有的基于数据挖掘的检测方法在特征选择时存在过度拟合数据的情况,而该方法在这方面具有较强的鲁棒性。
静态分析恶意代码(基础篇)
weixin_48421613的博客
12-29 1602
静态分析恶意文件(基础篇) 提示:这里可以添加系列文章的所有文章的目录,目录需要自己手动添加 例如:第一章 Python 机器学习入门之pandas的使用 提示:写完文章后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录静态分析恶意文件(基础篇)前言一、恶意代码种类及特征二、分析步骤1.反病毒引擎扫描2.使用PEiD查壳3.使用upx.exe脱壳4.使用Dependency Walker探索动态连接函数总结 前言 有很多时候服务器被人家入侵了,在日志痕迹影子账户都被抹除的情况
病毒分析系列2 | 使用PE工具进行初步静态分析
SpaceSec的博客
11-02 5756
接上篇。进行病毒分析时,在进行具体的病毒行为分析前,需要或许可疑文件的基本信息,此时可以使用pe工具进行分析和获取在该文章中所涉及的知识主要是pe文件格式的相关知识,使用文字进行原理说明会相对冗余。
恶意代码分析实战 1 静态分析基础技术
农夫果园好好喝的博客
01-24 1408
对Lab01-01.exe和Lab01-01.dll进行分析首先查看Lab-01-01.exe。然后查看Lab01-01.dll。这两个文件应该都是恶意文件。查看PE文件的结构:通过PE Tools查看文件头:Lab-01-01.exe 编译时间是2010年12月19日 16:16:19.Lab-01-01.dll 编译时间是2010年12月19日 16:16:38.这两个文件编译的时间非常接近,极有可能就是同时编译的。两个文件都没有加壳迹象。
20145233计算机病毒实践2之静态分析
weixin_30835923的博客
06-07 116
20145233计算机病毒实践2之静态分析 Lab01-01静态分析 PEiD 可以看出来第一程序没有使用任何加壳工具,直接使用C语言编程的 info可以查看仔细的分析,upx应该是压缩壳病毒 PE Explorer 这个静态可以发现程序什么时候编好的,并且可以看到几个基地址 PEview PEview查看32位可移植可执行(PE)和组件对象文件格式(COFF)文件的结构...
静态分析基础技术
Hvnt3r的博客
03-06 761
静态分析基础技术 原文链接:https://hvnt3r.top/2019/01/静态分析基础技术/ 知识点 我觉得安全圈的思路都是差不多的,跟渗透测试一样,对一个恶意软件的分析也需要前期的信息收集阶段来帮助我们对目标有一个大致的了解和认识,方便确定下一步工作的方向。 **Virus Total:**首先,拿到一个恶意软件如果不涉密的话可以直接上传到VT上看一下,这样差不多能确定此恶意软件的最早爆...
快速查询PE文件知识点和PE文件解析
m0_58089591的博客
05-04 917
快速查询PE文件知识点和PE文件解析
PE 文件时间戳修改工具
12-16
PE 文件时间戳修改工具, 将PE文件中编译时间戳统一修改为2008-08-08 08:08:08 使用方法: 1、命令行: TimeFix d:\Budded.dll 2、Delphi2007中PostBuild中可以使用: "$(BDS)\Bin\TimeFix.exe" "$(OUTPUTPATH)" 修改相关路径即可
Manalyze:用于PE可执行文件静态分析
02-24
PE文件静态分析器 Manalyze是用Windows和Linux的C ++编写的,并根据的条款发行。 它是用于PE文件的强大解析器,具有灵活的插件体系结构,允许用户深度静态分析文件。 a ... 标识PE的编译器 检测打包的可执行文件 ...
PE可执行文件格式概述
06-01
该文档描述windows系统下可执行文件格式标准,是做静态分析安全人员必须掌握的内容。
PE文件格式详解
01-11
对可执行文件加密是保护软件的一种...针对这一不足,我们在分析PE文件格式和加载机制的基础上,提出PE文件动态加密的思想,设计和实现了一种PE文件动态加密软件。试验结果表明,其可以有效地提高PE文件的自我保护能力。
通过分析PE文件查找dll依赖库,并将dll分类,copy到PE目录,方便部署
02-11
- 通过分析PE文件所有的依赖库(同depend工具) - 按照windows默认的dll加载顺序查找dll路径 - 比对dll库类型,分为 ~~~ 'ignor' : 可忽略的,默认都是system32目录;但有些开发库安装时也会默认安装到system32路径...
使用x64dbg调试dll程序
LoopherBear的博客
05-26 6710
使用x64dbg调试dll程序 这篇笔记是根据Lab16使用x64dbg调试带参数程序新增加的,记录了如何调试一个dll文件。 在很多时候一些程序会将核心功能放在dll文件内来完成,这样避免程序被查杀或者被逆向分析,主要手段是通过LoadLibrayA函数来加载一个dll文件,同时这个dll的DllMain函数会被调用以此来达到执行dll的程序。 在Windows上要独立执行一个dll程序,那么需要用到rundl32.exe来完成,因此可以借助这个程序来达到调试dll的目的。 分析dll程序的启动方式 这个
Lab16使用x64dbg调试带参数程序
LoopherBear的博客
05-26 3485
Lab16使用x64dbg调试带参数程序 在分析一些样本的时候,无论是.exe / .dll程序,或多或少都需要给程序添加参数。尤其是通过命令行给参数使得程序运行起来的。这篇笔记主要记录的两个调试方式 调试带参数启动的.exe程序 调试带参数启动的'.dll'程序 看下一篇文章 今天分析的程序是来自《恶意代码分析实战》的第十六章实验,第二个程序是一个crackme的程序,本来这个样本的重点是关注反调试部分的知识点,笔者在分析的时候发现这个有一个知识点–如何使用x64dbg调试带参数启动的程序,因此这里就
Windows7 64bit安装IDA pro 7.0插件整理
LoopherBear的博客
05-21 1847
Windows7 64bit安装IDA pro 7.0插件整理 对于常用的逆向工具ida,很多时候使用插件能加速分析的速度,例如一些算法的标识,两个样本存在的关联性,yara的使用等,这个笔记是整理一些在日常分析中使用的插件安装过程和使用的方法,虽然比较简单,入门基本够用了。 FindCrypt3 标识一些常用算法的插件,地址(https://github.com/polymorf/findcrypt-yara) 安装 安装python2.7.11 安装idasdk7.0到ida安装目录 将sdk复制到安
exeinfope下载csdn
最新发布
01-26
通过exeinfope,我们可以对PE文件进行静态分析,获取文件的详细信息,如文件头、段表、导入导出表等。这将有助于我们更深入地了解PE文件的结构和功能,进行相关的调试和研究。 总之,exeinfope是一个非常有用的PE...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值