前言
本篇继续阅读学习《有趣的二进制:软件安全与逆向分析》,本章是使用工具探索更广阔的世界,简单介绍了 REMnux & ClamAV、Zero Wine Tryouts和一些启发式技术,这里就简单记录了下几个工具
一、 REMnux & ClamAV
1、REMnux
REMnux 是一个 Linux 工具包,用于对恶意软件进行逆向工程和分析,而无需查找、安装和配置工具
- 官网:https://remnux.org/
- REMnux 是基于特征库来工作的,因此无法应对新的恶意软件,但它的魅力在于检测恶意软件非常方便
打开后如图
更新数据库是用的第一步,命令:freshclam
扫描目录/文件:
clamscan <目录名/文件名> #扫描对应目录/文件
clamscan -r / #扫描计算机上的所有文件并且显示所有的文件的扫描结果
clamscan -r --bell -i / #扫描计算机上的所有文件并且显示有问题的文件的扫描结果
clamscan -r /home #扫描所有用户的主目录
2、ClamAV
REMnux 中使用的 clamscan 命令,实际上是调用 GPL 协议的反病毒软件 ClamAV 对恶意软件和漏洞攻击进行扫描
- 官网:http://www.clamav.net/
- 特征文件扩展名为
.cvd,其中 main.cvd 为基本数据库, daily.cvd 为每日新增的特征数据库 .cvd文件实际上是通过 tar.gz 压缩的,将文件开头的 512 个字节删掉之后,就可以用tar命令解压缩了
一些命令:
trid sample.exe #检测文件详细信息
pescanner sample.exe #根据文件的元数据检测出所使用的打包器或者疑似恶意软件的文件
二、用 Zero Wine Tryouts 分析恶意软件
Zero Wine Tryouts 是一个开源的自动分析工具,只要将文件上传上去就可以显示结果
- 官网:http://zerowine-tryout.sourceforge.net/
- 与 REMnux 的不同点在于,它主要通 过动态分析来得出结果
运行机制
- Zero Wine Tryouts 运行在开源虚拟机 QEMU 上
- 启动后会自动打开一个 HTTP 服务器,通过网页可以上传 EXE 文件并进行分析
- 内部是一个基于 Wine 的沙箱环境,Wine 是一个能够在 Linux、 BSD、Solaris、OS X 等非 Windows 环境下运行 Windows 程序(PE 文件)的运行时库,官网:http://www.winehq.org/
结语
主要是一些工具的介绍
这本书到此就结束了,可以看到是一本很浅显的介绍性书籍
扫一扫
:使用工具探索更广阔的世界&spm=1001.2101.3001.5002&articleId=124619957&d=1&t=3&u=29a7f572fbb746d6ac46a4d3de56609b)
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
