恶意代码实战分析-第一章:静态分析基础

最新推荐文章于 2024-04-30 17:57:54 发布
最新推荐文章于 2024-04-30 17:57:54 发布
阅读量2.5k 收藏 3
点赞数 2
分类专栏: 漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013687652/article/details/45288925
版权
静态分析值的是通过分析程序指令与结构来确定功能的过程。从可执行文件提取有用的消息有多种方法:使用反病毒软件来确定程序样本的恶意性;使用哈希来识别恶意代码;从文件的字符串列表,函数和头文件信息中发掘有用信息。1.拿多个反病毒软件扫描这个文件,查看是否有哪个引擎已经能够识别它。网站http://www.virustotal.com 允许上传一个文件,来生成一个扫描结果。2.哈希值:恶意代码的指
摘要由CSDN通过智能技术生成

静态分析值的是通过分析程序指令与结构来确定功能的过程。

从可执行文件提取有用的消息有多种方法:

  1. 使用反病毒软件来确定程序样本的恶意性;
  2. 使用哈希来识别恶意代码;
  3. 从文件的字符串列表,函数和头文件信息中发掘有用信息。

1.拿多个反病毒软件扫描这个文件,查看是否有哪个引擎已经能够识别它。

网站http://www.virustotal.com 允许上传一个文件,来生成一个扫描结果。

2.哈希值:恶意代码的指纹

哈希是一种用来唯一标识恶意代码的常用方法。MD5,SHA-1
![md5deep使用](https://img-blog.csdn.net/20150426155319688)
哈希值可以用来:

- 作为标签使用
- 与其他分析师分享哈希值,帮助识别恶意代码
- 在线搜索这段哈希值,看这个文件是否已经被识别

3.查找字符串

程序中的字符串就是一串可以打印的字符序列,比如“the."。一个程序会包含一些字符串,比如打印出的消息,连接的URL,或是复制文件到某个特定的位置。
strings程序可以用来查找字符串(http://technet.microsoft.com/en-us/sysinternals/bb897439 )
Introduction
Working on NT and Win2K means that executables and object files will many times have embedded UNICODE strings that you cannot easily
最低0.47元/天 解锁文章
足球先生
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
恶意代码静态分析
qq_41821067的博客
02-23 875
目录strings 的使用列出可打印的字符exe程序与dll程序的关系实验一实验二实验三 strings 的使用 注意:strings要放到相应的目录下才可以进行运行,比如在C盘的根目录进行运行strings命令,strings.exe文件就要放在C盘的根目录下 列出可打印的字符 进入cmd *1、进入根目录cd * strings 文件名称.exe 可以看到system 下面有一个dll 文件用来混淆原本的dll 文件 基于主机的迹象 2、string 文件名.dll 出现一个网址 www.ip.cn用
静态分析恶意代码基础篇)
weixin_48421613的博客
12-29 1815
静态分析恶意文件(基础篇) 提示:这里可以添加系列文章的所有文章的目录,目录需要自己手动添加 例如:第一章 Python 机器学习入门之pandas的使用 提示:写完文章后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录静态分析恶意文件(基础篇)前言一、恶意代码种类及特征二、分析步骤1.反病毒引擎扫描2.使用PEiD查壳3.使用upx.exe脱壳4.使用Dependency Walker探索动态连接函数总结 前言 有很多时候服务器被人家入侵了,在日志痕迹影子账户都被抹除的情况
恶意代码分析实战_01静态分析基础知识
最新发布
kitsch0x97的博客
04-30 1117
通过反病毒引擎扫描可疑软件、通过哈希值查询可疑软件、通过字符串查询分析可疑软件、加壳可疑软件分析、PE格式可疑软件分析、可疑软件链接库与函数分析
恶意代码分析-静态分析基础
Amire0x的小乐园
11-03 1656
静态分析 静态基础分析 使用反病毒软件扫描 在线扫描工具 哈希识别 恶意代码样本通过一个哈希程序,会产生出一段用于唯一标识这个样本的独特哈希值 可以在线搜索这个文件是否被识别 在线文件hash计算工具 字符串查找 程序中的字符串就是一串可打印的字符序列 可以通过搜索可执行文件中的可打印字符串 如:微软strings程序,它会忽略上下文和格式,可用来分析任何文件类型 加壳与混淆 恶意代码编写者经常使用加壳或混淆技术,让他们的文件更难被检测或分析。混淆程序是恶意代码编写者尝试去隐藏其执行过程的代码。而加壳程序则
恶意代码分析实战 --- 第一章 静态分析基础技术
abelxu
05-15 638
记录一下恶意代码分析实战的课后习题。 Lab1-1 1.将文件上传至http://www.virustotal.com进行分析并查看报告。文件匹配到了已有的反病毒软件特征吗? 能够看到很多杀软都报毒了,但是好像看不出报的是什么类型的病毒。 2.这些文件是什么时候编译的? Lab01-01.exe创建时间:2010-12-20/00:16:19 Lab01-01.dll创建时间:2010-12-20/00:16:38 应该是同时创建的. 4.是否有导入函数显示出这个恶意代码是做什么的?如果是,是哪些导入
lab1-1 恶意代码分析实战
qq_55202378的博客
10-29 1186
恶意代码实战分析
恶意代码分析实战课后练习题
11-04
"恶意代码分析实战课后练习题"是一份针对这一主题的专业训练材料,旨在帮助学习者加深对恶意代码理解并提升分析技能。本资料结合MATLAB的学习,将理论与实践相结合,为学员提供一个深入研究恶意软件行为的平台。 ...
恶意代码分析实战》官方实验样本
01-13
学习恶意代码分析,从官方下载的《恶意代码分析实战》课后实验样本。
恶意代码分析实战》课件
06-24
恶意代码分析实战》是2014年4月电子工业出版社出版的图书,作者是Michael Sikorski / Andrew Honig
static-malware-analysis-python:Android静态恶意软件分析
05-04
在IT安全领域,静态恶意软件分析是一种用于检测和理解Android应用程序(APK)潜在恶意行为的技术,无需实际执行应用程序。这种技术对网络安全至关重要,因为它可以帮助研究人员、安全分析师和反病毒软件开发者快速...
恶意样本分析流程记录
weixin_42877778的博客
01-15 3015
拿到一个恶意样本,要先对其进行静态分析了解其基本函数,推测它的功能,然后再进行动态分析测试样本执行,学习《恶意样本分析实战》并在此记录对于一个恶意样本应该进行的流程分析。 反病毒引擎扫描 在拿到一个恶意样本时可以先使用多个反病毒软件扫描这个文件, ...
strings.exe
02-28
支持win10和XP的strings工具,可以用来扫描文件中包含的字符串
恶意代码分析实战》--第一章静态分析基础技术
I have a dream
09-13 1961
**请参考大神的链接:https://blog.csdn.net/baidu_41108490/article/details/80298973#commentBox Lab1-1 这里我只是记录我的学习过程** 2、用PEtools打开,查看日期 .exe .dll 发现.exe和.dll两个文件的编译时间只相差了19秒 4,用dependency walker工具打开 ...
恶意代码加壳
weixin_30599769的博客
10-29 663
混淆程序是恶意代码编写者用于隐藏其执行过程的代码。加壳程序是混淆程序中的一类,加壳之后的程序会被压缩,使得含义分析。 判断程序是否加壳的一个模糊的判别规则是,正常程序中的字符串往往会很多,而被加壳或混淆后的程序能够获取到的,能直接打印出的字符串却很少。 注意 加壳和混淆代码通常至少会带有LoadLibrary和GetProcAddress函数,主要是用于加载和使用其他函数的功能。 在加壳程序运行前...
恶意代码检测理论(静态与动态分析基础)
H4ppyD0g的博客
11-03 9139
什么是恶意代码 恶意代码(malicious code)又称为恶意软件(malicious software,Malware),是能够在计算机系统中进行非授权操作的代码。 恶意代码类型 1、蠕虫或计算机病毒:可以自我复制和感染其他计算机的恶意代码 2、后门:一类能够绕开正常的安全控制机制,从而为攻击者提供访问途径的一类恶意代码。攻击者可以通过使用后门工具对目标主机进行完全控制。 3、僵尸网络:...
恶意代码分析实战 Lab 1-2 习题笔记
isinstance的博客
08-25 2839
Lab 1-2问题1.将Lab01-02.exe文件上传至http://www.virustotal.com/进行分析并查看报告。文件匹配到了已有的反病毒软件特征吗?解答: 这个传就行了。2.是否有这个文件被加壳或混淆的任何迹象?如果是这样,这些迹象是什么?如果改文件被加壳,请进行脱壳,如果可能的话。解答: 因为这个我是看过一遍书才来看这些题目的,所以,可能刚开始看这本书的同学会有些不理解,没事,慢
恶意代码分析实战学习——静态分析
xlsj雪松的博客
06-06 3553
1.基础分析 2.详细介绍 2.1 纹探测 恶意代码纹探测技术有很多种,常见的有hash值探测、流量统计纹、纹理纹探测、图像纹探测、动态行为纹...... (1)hash值检测方法比较方便,但效率低。恶意程序稍微修改一下程序流程或加个免杀,就会产生不同的hash值。 (2)流量统计纹:提取恶意代码流量中的包层特征和流层特征,对高维流层特征采用主成分分析进行降维,利用...
恶意代码分析实战1-1
Yale的博客
05-28 787
本次实验分析Lab01-01.exe和Lab01-01.dll文件,以及Lab01-02.exe。关于Lab01-01.exe和Lab01-01.dll文件的问题如下: 1.将文件上传至http://www. VirusTotal. com/进行分析并查看报告。文件匹配到了已有的反病毒软件特征吗? 2.这些文件是什么时候编译的? 3.这两个文件中是否存在迹象说明它们是否被加壳或混淆了?如果是,这些迹象在哪里? 4.是否有导入函数显示出了这个恶意代码是做什么的?如果是,是哪些导入函数? 5.是否有任何其他文件
加壳工具的使用
我还在的博客
10-09 5087
加壳工具的使用0x01 前言0x01 加壳简介0x02 ASPack加壳0x03 PE-Armor加壳 0x01 前言 这是我对加壳工具的使用的学习记录。 0x01 加壳简介 1.加壳:是一种通过一系列数学运算,将可执行程序文件(EXE)或动态链接库文件(DLL)的编码进行改变(目前加壳软件还可以压缩、加密),以达到缩小文件体积或加密程序编码的目的。当被加壳的程序运行时,外壳程序先被执行,然后由这...
splint 中文手册 静态代码分析
11-11
"splint中文手册是一份详细介绍了静态代码分析工具splint的文档,旨在帮助用户理解和使用该工具进行程序的静态分析,检测潜在的编程错误和安全问题。此手册由David Evans主要编写,包括内存边界检查等功能的介绍,且...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值