恶意软件分析——逆向工具介绍

最新推荐文章于 2024-06-25 09:40:38 发布
最新推荐文章于 2024-06-25 09:40:38 发布
阅读量826 收藏 4
点赞数 1
分类专栏: Windows逆向 Windows病毒分析 RootKit
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43312649/article/details/103473857
版权

病毒分析除了需要扎实的经验,对于工具的利用也要熟能生巧。以下是病毒分析中经常用到的有效手段:

一、环境配置。

虚拟机网络模式:仅主机模式。
管理员权限运行恶意软件样本。
虚拟机推荐:FLARE VM
是一款以Windows为基础的免费开源的虚拟机,专为逆向分析工程师、恶意软件分析研究员、事件响应人员、安全取证人员以及渗透测试者设计。

二、工具利用

在这里插入图片描述
使用ProcessHacker查看进程的权限。
在这里插入图片描述
使用ProcessExplorer查看进程的父进程。防止恶意软件切断进程溯源链躲避主动防御。
进程背景色为蓝色表示进程和ProcessExplorer运行在同一系统用户环境下
进程背景色为紫色表示进程中代码可能被压缩或者加密
在这里插入图片描述
使用everything可以清楚看到临近时间文件的修改与变动。防止恶意软件篡改系统文件,比如hosts文件。这种方法比ProcessMonitor更加清晰直观。

了解本专栏 订阅专栏 解锁全文 超级会员免费看
摔不死的笨鸟
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
恶意代码分析——基础技术篇
Woolemon的博客
04-05 8910
恶意代码分析目的 获取特征码 撰写分析报告 制作专杀工具 恶意代码分析方法 静态分析基础技术(快速分析技术):检查可执行文件但不查看具体指令的一些技术。静态分析基础技术可以确认一个文件是否是恶意的,提供有关其功能的信息,有时还会提供一些信息让我们生成简单网络特征码。 动态分析基础技术:涉及运行恶意代码并观察系统上的行为,以移除感染,产生有效的检测特征码,或者两者。 静态分析高级技术:主要是对恶意代码内部机制的逆向工程,通过可执行文件装载到反汇编器中,查看程序指令来发现恶意代码做了什么。 动态分析高级技
逆向分析系列——查壳侦壳工具
任浩的博客
02-03 3475
1、PEiD:PEiD(PE Identifier)是一款著名的查壳工具,其功能强大,几乎可以侦测出所有的壳,其数量已超过470 种PE 文档 的加壳类型和签名。 2、StudPE:StudPE是一个很强大的PE综合工具,可以查看和修改 EXE、DLL等PE结构文件的PE结构,用来学习PE格式十分方便。 3、PEscan:PEScan主要是增加了,文件嗅探功能(嗅探这个词比较时髦,其实没那么厉害了)也就是简单的探测一下,该程序加壳情况和所使用的编程语言。 5、Exeninfo:很少用。 6、fileinfo
探秘安全的恶意软件模拟器——scemu
gitblog_00053的博客
06-01 328
探秘安全的恶意软件模拟器——scemu 项目地址:https://gitcode.com/sha0coder/scemu 在网络安全的世界里,理解并预测恶意软件的行为是一项至关重要的任务。为此,我们向您推荐一个名为scemu的强大工具,这是一个专为安全地模拟x86 32/64位指令集设计的开源项目。它不仅可以帮助您分析和研究复杂的恶意代码,还能以惊人的速度运行,比Unicorn更快。 项目简介 s...
Android逆向工具简单介绍
学无止境
10-25 3286
Android APK生成过程安卓开发中代码和资源文件打包成 APK 的过程主要包括:编译、加密和打包。安卓逆向就是解压、解密和反编译了。安卓逆向说白了就是重新获取 APK 的源码,甚至有些灰产会修改部分应用内容之后重新打包。正道用途的话,很多大企业有安卓逆向工程师,负责企业应用的安全工作,“以子之矛,攻子之盾”,测试加强自己应用的安全性。我们 Android 开发工程师有时候也会用一些逆向小技巧,看看竞品的应用某个功能实现方法之类的。
探索恶意软件分析与响应的新边界——全方位工具
最新发布
gitblog_00064的博客
06-25 384
探索恶意软件分析与响应的新边界——全方位工具库 项目地址:https://gitcode.com/ashemery/malware-tools 在网络安全的战场上,恶意软件分析和事件响应是维护秩序的关键环节。为了帮助安全专家们更有效地应对这一挑战,我们向您推荐一个强大的开源项目,它集合了一系列用于恶意软件分析和响应的工具——《Malware Analysis and Incident Respon...
探索恶意软件分析逆向工程的深度之旅
gitblog_00012的博客
06-08 559
探索恶意软件分析逆向工程的深度之旅 项目地址:https://gitcode.com/Dump-GUY/Malware-analysis-and-Reverse-engineering 在这个数字时代,安全无处不在。作为技术爱好者和开发者,你可能已经意识到保护网络系统的重要性。今天,我们为你推荐一个独特的开源项目——Malware-analysis-and-Reverse-engineering...
探索恶意软件分析的新边界 —— 推荐TheMatrix项目
gitblog_00030的博客
06-16 587
探索恶意软件分析的新边界 —— 推荐TheMatrix项目 项目地址:https://gitcode.com/enkomio/thematrix 在信息安全的广阔领域中,恶意软件分析是守护数字世界安全的重要一环。今天,我们要向您推荐一款名为TheMatrix的开源工具,它专为简化恶意软件分析流程而生,让安全研究人员的工作更加高效且深入。 1. 项目介绍 TheMatrix是一款强大的过程检查工具,...
安卓逆向分析工具
任浩的博客
01-23 260
SMALI/BAKSMALI SMALI/BAKSMALI是一个强大的apk文件编辑工具,用于Dalvik虚拟机(Google公司自己设计用于Android平台的虚拟机)来反编译和回编译classes.dex。其语法是一种宽松式的Jasmin/dedexer语法,而且它实现了.dex格式所有功能(注解,调试信息,线路信息等)。 下载地址:传送门 SMALI BAKSMALI.png ANDBUG Andbug是一款针对Android平台的Dalvik虚拟机的调试工具工具基于jdwp协议,使用了python
数据软件分析(一)——静态分析
cwllll的博客
06-28 654
对《基于数据科学的恶意软件分析》的学习
2012中国计算机网络安全年会恶意程序分析——主讲:姚纪卫
07-11
本课程将从一个软件开发者的角度来分析恶意程序,一个分析过程包括程序预判、代码分析、反制措施三个步骤。由于恶意程序种类太多,本次培训只选取三类较典型的恶意程序进行分析,它们分别是: PE 病毒、 PDF 文档类...
Android恶意代码——木马APK分析.pdf
09-21
"Android恶意代码——木马APK分析.pdf" Android 恶意代码分析是移动安全领域中的一個亟待解决的问题。随着 Android 系统的普及,恶意代码的数量也呈爆炸式增长,对用户的隐私数据和手机安全造成了严重的威胁。 ...
X64dbg正确使用姿势
热门推荐
摔不死的笨鸟的博客
11-25 1万+
X64DBG是目前来说64位windows操作系统最主流的调试器,这里简单介绍下一些需要注意的使用姿势。 1、取消系统断点。默认是系统断点,可以打开,选项-设置把系统断点勾掉,只断入口断点和TLS回调函数。 2、带参数调试进程。文件-改变命令行。 3、寄存器上右键高亮,可以高亮寄存器,阅读shellcode时比较容易分辨寄存器值变化。或者使用快捷键H键。 4、循环指令中设置条件记录断点的方法(脱解密壳或逆算法基本必用): 指令上首先F2下断点,然后在断点界面右键Edit,设置暂停条件。并记录寄存器情况
一篇学会脱壳——06.exe脱壳
摔不死的笨鸟的博客
09-07 7078
加密壳脱壳
如何处理C#混淆
摔不死的笨鸟的博客
05-31 3831
C#混淆基本可以过所有静态特征检测,C#的软件经常被用来写加载器,勒索和窃密有很多是C#语言。 有些C#的混淆在基本信息上可以看到,当然这是一种比较低级的混淆方法,大多数作者会抹去这个信息字符串。 图片来自于深信服的分析报告: https://www.sangfor.com/blog/cybersecurity/new-threat-mallox-ransomware de4dot de4dot工具可以识别以下几种类型的混淆,并且可以还原一大部分符号信息。 Agile.NET (aka CliSecure
脱壳进阶篇——IAT修复与解密
摔不死的笨鸟的博客
12-09 2845
IAT修复 这种jmp明显有问题,下断点跟进去看一下。 复制IAT中的第一条和最后一条,指定范围去获取输入表,准确完美。 数据窗口跟随内存地址,这种77和76开头的典型就是API函数地址,使用长型地址指针即可观看系统API函数名字。 ...
Virut感染型病毒查杀工具
摔不死的笨鸟的博客
08-25 2675
职业病毒分析师的职责是为安全运营团队提供有力的后台支持,并能处置突发的大型感染病毒和勒索病毒。 下面是自己写的Virut一款感染型病毒的修复工具。该工具没有遍历文件,只是修复了C盘下被病毒感染后的一个文件:hypertrm.exe.V。有兴趣的可以研究交流。 // VirutRemoveTool.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" #include <Windows.h> #define BYTELENGTH 1024 int Restor
Windows驱动的加载顺序
摔不死的笨鸟的博客
11-02 2214
开机内核初始化后,加载顺序前10榜没几个是看起来正常的驱动。是因为这些看起来.dll后缀的驱动比较底层,甚至虚拟机都没有办法模拟,所以比较特别。 Windows驱动分为Boot Start、System Start、AutoStart和Demand Start四种启动类型,分别代表驱动注册表中Start键值的0\1\2\3,驱动加载时优先加载Boot Start型驱动,按照0、1、2、3类驱动启动类型来加载驱动。优先加载的驱动优先获得到更早的权限,拿到主机的权限。 2017年出现的Rootkit狼人杀就把.
GDT、LDT和IDT
摔不死的笨鸟的博客
11-13 2078
三个重要的系统表GDT、LDT和IDT 首先说明的是,这三个表是在内存中由操作系统或系统程序员所建,并不是固化在哪里,所以从理论上是可以被读写的。 这三个表都是描述符表。描述符表是由若干个描述符组成,每个描述符占用8个字节的内存空间,每个描述符表内最多可以有(8K)8129个描述符。描述符是描述一个段的大小,地址及各种状态的。描述符表有三种,分别为全局描述符表GDT、局部描述符表LDT和中断描述符表IDT。 GDT表与IDT表 在整个系统中,全局描述符表GDT只有一张(一个处理器对应一个GDT),GDT
精通Windows平台恶意软件分析
书中通过实际操作的步骤,由业内专家揭示恶意软件分析的过程,适合已经具备逆向工程Windows可执行文件经验的读者。书中采用“展示与讲述”的方法,通过实例让分析员更自信地独立处理恶意软件分析任务。 通过阅读...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

摔不死的笨鸟

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值