内核级木马与病毒攻防:windows恶意代码分析入门

本文介绍了如何对Windows上的恶意软件或病毒进行静态分析,包括直接读取可执行文件以获取关键信息,如服务器IP和URL。静态分析工具如strings.exe用于查找ASCII字符串,而Dependency Walker则用于查看程序的链接库和调用函数,以推测其潜在目的。文章强调了打包和加壳技术如何阻碍分析,并指出不同DLL的加载可能暗示的恶意行为,如kernel32.dll和Advapi32.dll。
摘要由CSDN通过智能技术生成

本节帮助读者入门windows上如何对恶意软件或病毒做初步分析。分析分两种,一种叫静态分析,也就是通过直接读取病毒或恶意程序的可执行文件来分析它的运行原理,一种是动态分析,也就是在病毒或恶意程序正在运行的情况下,监视其一举一动,通过观察它在系统中的运行情况来分析它的目的和原理。

本节介绍基本的静态分析方法,该方法简单易行,但作用有限,要想跟病毒或恶意程序斗智斗勇最终还得依赖于动态分析。静态分析的第一种方法就是直线读取病毒或恶意程序的可执行文件,从中抽取关键信息。很多病毒或恶意程序的作者为了快速实现其非法目的,在代码设计时往往粗制滥造,不会关心软件工程方面的问题,例如他们会将服务器ip,URL等重要信息以字符串的方式写在代码里,因此直接读取其可执行文件就能获取这些信息,我们看一个例子,使用VS编译如下一段非常简单的代码,然后生成exe可执行文件:

#incolude<iostram>
const char* p = "This is a String";
int main() {
std::cout<<"Hello World!";
}

注意到程序里有两个字符串,它们会直接存储在编译好的可执行文件里,在恶意软件或病毒程序中,这些字符串往往对应服务器ip或某些关键信息,直接从可执行文件中抽取出这些信息后就能得到

评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值