病毒样本分析小结

最新推荐文章于 2023-04-28 12:49:15 发布
最新推荐文章于 2023-04-28 12:49:15 发布
阅读量3.1k 收藏 5
点赞数 2
分类专栏: Linux病毒解析 积累 文章标签: 病毒 汇编 经验 杀毒软件
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010484477/article/details/27240861
版权
本文作者分享了在学习病毒样本分析过程中的初步感悟,强调了经验积累的重要性。通过使用IDA进行反汇编,作者指出关注Strings窗口中的IP地址、网址和特定单词可以帮助定位恶意代码。在import和export中查找关键函数也是分析的重要步骤。此外,病毒往往试图隐藏自身,分析时需留意低调的隐藏行为。最后,作者提到环境对恶意代码分析的影响,并鼓励交流讨论。
摘要由CSDN通过智能技术生成

最近在学习病毒样本分析,有一些初级的感悟,希望和大家多多交流。微笑

我是使用IDA进行反汇编分析病毒样本的,其实本人认为病毒解析在很大程度上是非理性的元素占得多一些,一个程序,若果从main函数开始一点一点的进行分析,少说也要一个礼拜才能够完成,而时间上付出的代价太大了,病毒样本的分析,我觉得更多的是经验上的积累,见得多了,就知道从哪里开始下手。

在IDA中可以用Strings window ,export,import这几个方面进行:

首先,进入到Strings window中,一个个看字符串的名字,比如   (1)

最低0.47元/天 解锁文章
Homber爱分享
关注
专栏目录
一個有趣的白加黑样本分析
A_ZHAZHAL的博客
07-15 1199
文章目录前言文件前期整理分析执行流程分析HD_Comm.dllAu.exeConfig.dat 分析导出函数 wow_helper导出函数 UserServicedllhost.exe总结 前言 偶然找到一个白加黑的样本,尝试进行分析,看看是如何运行的。 先放个自己做的样本的流程图吧。 文件前期整理分析 文件夹内有3个文件,前两个是隐藏文件,而且虚假后缀为 .bmp 的文件类型是快捷方式,所以判断这几个文件应该是有猫腻的。 使用 HIEW 对截图.bmp文件进行查看,发现它会调用 rundll32.e
linux勒索病毒分析,永恒之蓝的勒索病毒tasksche.exe样本分析
weixin_32103009的博客
05-13 2308
内容:分析病毒结构,写出病毒如何利用漏洞进行攻击,详细剖析勒索病毒的运行过程,使用了什么加密算法,调用了什么系统API。进阶:中了该勒索病毒,怎么恢复数据样本分析首先是看下病毒样本的哈希值图片.png查壳信息,win32程序无壳:图片.png载入IDA后,先查看字符串,看到有RSA和AES,猜测之后会使用这两种加密方式:图片.png用IDA的findcrypto插件,找到了AES算法的特征:图片....
盘盘那些牛逼的勒索病毒(附样本
Peter_FHC的博客
01-15 4561
盘点那些比较牛的勒索病毒
NEMUCOD病毒jse样本分析
好好学习,天天向上
12-08 2192
病毒使用微软的JScript编写,能够直接运行在Windows操作系统之上,采用了加密和混淆手段对抗监测,可检测是否运行在虚拟机中和系统中是否存在分析工具,可感染可移动存储介质,主要功能为下载器。CC服务器为185.159.82.15,通过关联威胁情报,该样本为NEMUCOD家族样本,该病毒通过垃圾邮件传播。
介绍数种病毒样本分析格式归纳分析策略
weixin_34054931的博客
07-26 143
数种病毒样本格式: 1卡巴斯基式APT分析 具体到骨子里.有意图分析和模块关系.编写者特征等.IP溯源家常便饭. 2金山火眼式 基本信息 火焰点评 危急行为 其他行为 行为描写叙述 附加信息 注冊表监控 网络监控 值得注意的是火眼使用最多两种哈希来确定一个样本.当然你能够使用其一. 3Comodo(毛豆)在线分析式 这是一张典型的使用毛豆进行...
【2018-10-30】粗略分析某感染性病毒样本
weixin_33881140的博客
11-02 251
样本下载 样本原文件 链接我的分析过程文件 链接提示:请勿实体机分析 文件信息收集 查看文件类型,标准的PE头 改名后使用查壳工具查看是否有壳 总共3个区段,不清楚是什么壳!也不清楚是用什么编程语言写的 使用IDA加载,查看是否有关键字符串信息 看来字符串之类的也被加密或者压缩了 动态分析-脱壳 由于不清楚是什么壳,所以只有尝试多...
一例感染型病毒样本分析
最新发布
好好学习,天天向上
04-28 1528
这个样本是会释放两个dll和一个驱动模块,通过感染USB设备中exe文件传播,会向C&C下载PE执行,通过rookit关闭常用的杀软,是一例典型的感染型病毒,有一定的学习价值。
Android病毒样本分析(2)
ireader135的博客
03-23 1163
1.基本信息 病毒名称: a.privacy.fakeccb.a[建设控件] 文件名称: BWM在线 文件MD5: E32377EE18BF0D853D5B45DEDFB6997D 文件包名: com.qqquanquan1031606149 危害属性: 恶意勒索   2.基本行为 程序启动后直接锁屏,以勒索用户   3.详细分析 1、在入口函数内启动服务 tr
rmnet蠕虫病毒样本分析
挖树
10-14 2260
rmnet蠕虫病毒样本分析 目录 文章目录目录0x00基本信息0x01 概述0x02流程图0x03 技术细节详细分析第一层壳解密出PE文件第二层壳检查环境准备注入iexplore.exe注入Iexplore.exe恶意六线程线程1: 7ACA 自启动线程2: 7626 测试网络连通性线程3: 781F 记录连通时差线程4: 790C 发送本机信息接收返回指令线程5: 6EA8...
计算机病毒样本提取工具
05-18
对可疑计算机做病毒分析,提取可疑文件及样本,进行分析及提交。
计算机病毒基础教程
11-15
教你一步一步的制作windows下的病毒,如小白,为了更好的学习可以先了解相关知识。
典型病毒分析
01-18
它可能涵盖了如何捕获病毒样本、使用反病毒工具进行静态和动态分析、解析病毒的代码特征,以及如何根据分析结果制定对策。通过观看这样的视频,IT专业人士可以增强自己识别和处理病毒的能力,从而更好地保护网络环境...
Android版本的 Wannacry 文件加密病毒样本分析 附带锁机
qq_44906504的博客
04-19 1250
Android版本的 Wannacry 文件加密病毒样本分析 附带锁机
KimSuky病毒样本分析
weixin_43781139的博客
03-16 535
0x00 前言准备 kimsuky APT组织(又名Mystery Baby, Baby Coin, Smoke Screen, BabyShark, Cobra Venom) ,该组织一直针对于韩国的智囊团,政府组织,新闻组织,大学教授等等进行活动.并且该组织拥有windows平台的攻击能力,载荷便捷,阶段繁多。并且该组织十分活跃.其载荷有带有漏洞的hwp文件,恶意宏文件,释放载荷的PE文件等。 实验环境:win10 分析工具:火绒剑 IDA x32dbg die procmon ...
病毒分析
a562449131的博客
08-30 2064
病毒分析第一讲,分析病毒注意事项,以及简单分析主要功能 一丶认识木马和病毒的区别 木马和病毒是两个不一样的,有人会把木马认为是病毒,但其实不是 说下区别 木马:   木马没有破坏性,木马主要功能是收集用户信息,控制机器等等. 病毒:   病毒一般带有破坏性的行为,比如格式化盘符,修改电脑的文件,传染.... 二丶分析病毒的前提准备 1.在分析病毒样本之前,首先要把...
病毒分析中的一点小结
richard1230的博客
03-03 732
病毒分析中的一些小结(病毒行为分析) (样本为office2003恶意代码样本) 更多文章在https://www.jianshu.com/u/314d85d378a7 发现其动作是释放PE文件: 上图中标示出来的文字为:它(hkcmd)的动作是File_Touch(创建文件),创建的文件为datac1en.dll 其他的行为动作类似推理!...
Wannacry勒索病毒样本分析
热门推荐
谈成(C/C++)
05-14 1万+
一、病毒简介: WannaCry(又叫Wanna Decryptor),一种“蠕虫式”的勒索病毒软件,大小3.3MB,由不法分子利用NSA(National Security Agency,美国国家安全局)泄露的危险漏洞“EternalBlue”(永恒之蓝)进行传播 。勒索病毒肆虐,俨然是一场全球性互联网灾难,给广大电脑用户造成了巨大损失。最新统计数据显示,100多个国家和地区超过10万台电脑遭到了勒索病毒攻击、感染。勒索病毒是自熊猫烧香以来影响力最大的病毒之一。WannaCry勒索病毒全球大爆发,至少15
病毒样本的完整功能分析
深耕安全技术研究
04-02 429
链接: 对伪装docx病毒分析.
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值