病毒分析除了需要扎实的经验,对于工具的利用也要熟能生巧。以下是病毒分析中经常用到的有效手段:
一、环境配置。
虚拟机网络模式:仅主机模式。
管理员权限运行恶意软件样本。
虚拟机推荐:FLARE VM
是一款以Windows为基础的免费开源的虚拟机,专为逆向分析工程师、恶意软件分析研究员、事件响应人员、安全取证人员以及渗透测试者设计。
二、工具利用
使用ProcessHacker查看进程的权限。
使用ProcessExplorer查看进程的父进程。防止恶意软件切断进程溯源链躲避主动防御。
进程背景色为蓝色表示进程和ProcessExplorer运行在同一系统用户环境下。
进程背景色为紫色表示进程中代码可能被压缩或者加密。
使用everything可以清楚看到临近时间文件的修改与变动。防止恶意软件篡改系统文件,比如hosts文件。这种方法比ProcessMonitor更加清晰直观。