静态逆向分析(上)
教程参考自《恶意代码分析实战》
程序来自:http://www.nostarch.com/malware.htm
使用上两话静态特征分析和动态行为分析的方法只能从宏观的角度分析样本,但由于无法得到源代码,所以我们无法确凿地判定这些样本就是恶意的。本着格物致知的宗旨,我们现在学习使用静态逆向分析的方法,从反汇编的角度来分析一个样本。
PS:由于静态逆向分析过程冗杂,所以本话使用问答的方式进行讲解。
Lab 5-1
本节实验使用样本Lab05-01.dll。
使用Exeinfo查壳,很幸运,没有加壳,是用VC6写的。
DllMain的地址是什么?
直接点击左侧DllMain地址,便可在右侧窗口看到其地址,为0x1000D02E。这里顺带提一句,我们分析样本从DllMain开始分析就好了,因为所有DllEntryPoint到DllMain之间执行的代码一般是由编译器生成的,我们不必去分析。
使用Imports窗口并浏览到gethostbyname,导入函数定位到什么位置?
点击上方的Imports标签,便可看到导入表,然后按Ctrl+F搜索gethostbyname,位置在.idata节的0x100163CC处。