静态分析值的是通过分析程序指令与结构来确定功能的过程。
从可执行文件提取有用的消息有多种方法:
- 使用反病毒软件来确定程序样本的恶意性;
- 使用哈希来识别恶意代码;
- 从文件的字符串列表,函数和头文件信息中发掘有用信息。
1.拿多个反病毒软件扫描这个文件,查看是否有哪个引擎已经能够识别它。
网站http://www.virustotal.com 允许上传一个文件,来生成一个扫描结果。
2.哈希值:恶意代码的指纹
哈希是一种用来唯一标识恶意代码的常用方法。MD5,SHA-1
![md5deep使用](https://img-blog.csdn.net/20150426155319688)
哈希值可以用来:
- 作为标签使用
- 与其他分析师分享哈希值,帮助识别恶意代码
- 在线搜索这段哈希值,看这个文件是否已经被识别
3.查找字符串
程序中的字符串就是一串可以打印的字符序列,比如“the."。一个程序会包含一些字符串,比如打印出的消息,连接的URL,或是复制文件到某个特定的位置。
strings程序可以用来查找字符串(http://technet.microsoft.com/en-us/sysinternals/bb897439 )
Introduction
Working on NT and Win2K means that executables and object files will many times have embedded UNICODE strings that you cannot easily