恶意代码分析

最新推荐文章于 2022-08-29 16:58:43 发布
最新推荐文章于 2022-08-29 16:58:43 发布
阅读量2.7k 收藏 3
点赞数 3
文章标签: 计算机 通信 数据 api 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yalecaltech/article/details/77986540
版权

Chapter1 静态分析基础技术

 

Ascii和unicode两种类型格式,在存储字符序列时都以null结束符表示字符串已经终结。一个null结束符表示该字符串是完整的。Ascii字符串每个字符使用1个字节、而unicode使用2个字节

 

由string程序检测到的字符串并非是真正的字符串。可能是一个内存地址,CPU指令序列,或是由某个程序所使用的一段数据

 

加壳和混淆代码通常会包含loadlibrary 和getpreaddress 函数,他们是用来加载和使用其他函数功能的

 

导入函数是一个程序所使用的但又存储在另一程序中的那些函数

 

常见的DLL程序:kernel32.dll  包含核心系统功能,如访问和操作内存、文件和硬件等

Advapi32.dll  提供了核心windows组件的访问,比如服务管理器和注册表

User32.dll          包含了所有用户界面组件,如按钮、滚动条以及控制和响应用户操作的组件

Gdi32.dll 包含了图形显示和操作的函数。

Nedll.dll 这个dll是windows内核的接口,可执行文件通常不直接导入这个函数,而是由kernel32.dll间接导入,若导入这个文件则意味着作者在企图非正常供windows程序使用的函数,一些如隐藏功能和操作进程等任务会使用这个接口

Wsock.dll,ws2_32.dll   联网dll,访问任一可连接网络,或是执行网络相关的任务

Wininet.dll 包含了更高层次的网络函数,实现了如ftp,http,ntp等协议

 

命名约定:当微软更新一个函数,而且新与旧不兼容,微软仍会支持旧,新与旧名字相同,并在后面加上ex后缀,被显著更新过两次的函数,则名字后面有两个ex后缀

 

以字符串作为参数的很多函数,名字后会包含一个A或一个W,如createdirectoryW,A/W在文档中并不体现,只意味着函数有两个不同的版本,A表示输入参数类型为ascii字符串,W表示输入参数为宽字符字符串

 

Dll文件本身就是实现一些导出函数然后被EXE可执行文件使用的,因此导出函数在dll文件中是最常见的

 

PE文件头与分节:.text节包含了CPU执行指令,所有其他节存储数据和支持性的信息,这是唯一可执行的节,也应该是唯一包含代码的节

 

                            .rdata节通常包含导入与导出函数信息。这个节中还可以存储程序所使用的其他只读数据

.data 字节包含了程序的全局数据。可以从程序的任何地方访问到,本地数据并不存储在这个节中。而是PE文件某个其他文件上。

.rsrc节包含由可执行文件所使用的资源。这些内容并不是可执行的

 

Windows平台可执行pe文件中的分节:

.text 包含可执行代码

.rdata 包含程序中全局可访问的只读数据

.data 存储程序中都可以访问的全局数据

.idata 有时会显示和存储导入函数信息,如果此节不存在,导入函数信息会存储在rdata中

.edata                 导出

.pdata 只在64位可执行文件中存在,存储异常处理信息

.rsrc 存储可执行文件所需的资源

.reloc 包含用来重定位库文件的信息

 

恶意代码经常会把一个嵌入的程序或驱动放在资源节中,在程序运行之前他们会将嵌入可执行文件或驱动提取出来

 

一些恶意代码在网络通信时必须改变字节序,因为网络数据使用大端字节序,而x86程序使用小端字节序

 

操作数说明指令要使用的数据有三种类型:

立即数(immediate)操作数是一个固定的值

寄存器(register)操作数指向寄存器

内存地址(memory address)操作数指向感兴趣的值所在的内存地址

 

 

寄存器是可以被CPU使用的少量数据存储器,x86处理器中有一组寄存器,可以用于临时存储或者作为工作区,最常用的x86寄存器分为三类:通用寄存器(cpu执行期间使用)、段寄存器(用于定位内存节)、状态标志(用于做出决定),指令指针(用于定位要执行的下一条指令)

 

反汇编时,经常看到xor指令,例如xoreax,eax就是一种将EAX寄存器置0的方法

 

移位经常用于对乘法运算的优化

 

在分析恶意代码时,如果遇到一个函数中有xor,or,shl,ror,shr,rol这样的指令,并且反复随机出现,可能就是遇到了一个加密或者压缩的函数

 

Nop指令是xchg eax,eax的伪名字。该指令的opcode为0x90,在缓冲区溢出攻击中,可以使用nop滑板,起到填充代码的作用,以降低shellcode可能在中间部分开始执行造成的风险

 

用于函数的内存、局部变量、流控制结构等被存储在栈中,x86架构有对栈的构建支持。用于这种支持的寄存器包括esp和ebp。Esp是栈指针,包含了指向栈顶的内存地址,ebp是栈基址寄存器,在一个函数中会保持不变,因此程序会把它当成定位器,用于确定局部变量和参数的位置。

 

与栈有关的指令包括push,pop,call,leave,enter和rct。在内存中,栈被分配成自顶向下的,最高的地址最先被使用。

 

栈只能用于短期存储,它经常用于保存局部变量、参数和返回地址。其主要用户是管理函数调用之间的数据交换

 

许多函数包括一段序言(prologue),它在函数开始处的少数几行代码,用于保存函数中要用到的栈和寄存器。相应地,在函数结尾的结语(epilogue)则将栈和这些寄存器恢复至被调用前的状态。

 

 

 

Elwood Ying
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
网络安全中恶意程序的分析与检测
AGI通用人工智能之禅
05-10 34
1. 背景介绍 随着互联网的快速发展和普及,网络安全问题日益突出。恶意程序作为网络安全的头号威胁,其种类繁多、传播途径多样、攻击手段复杂,给个人、企业乃至国家安全带来了巨大的危害。因此,对恶意程序进行分析与检测,及时发现并阻止其攻击行为,是网络安全领域的重要研究课题。 1.1 恶意程序的定义与分类
恶意代码分析——基础技术篇
Woolemon的博客
04-05 8830
恶意代码分析目的 获取特征码 撰写分析报告 制作专杀工具 恶意代码分析方法 静态分析基础技术(快速分析技术):检查可执行文件但不查看具体指令的一些技术。静态分析基础技术可以确认一个文件是否是恶意的,提供有关其功能的信息,有时还会提供一些信息让我们生成简单网络特征码。 动态分析基础技术:涉及运行恶意代码并观察系统上的行为,以移除感染,产生有效的检测特征码,或者两者。 静态分析高级技术:主要是对恶意代码内部机制的逆向工程,通过可执行文件装载到反汇编器中,查看程序指令来发现恶意代码做了什么。 动态分析高级技
计算机病毒分析与对抗————2、PE文件
Fly_鹏程万里
04-24 1711
1、PE文件定义PE即(Portable Executable,可移植的执行体),它是Win32可执行文件的标准格式。2、PE文件结构总共五部分:DOS头、PE文件头、节表、节,调试信息。Dos头:由MZ文件头以及DOS插桩程序构成,其实际上就是一个在DOS环境下显示“Thisprogram can not be run in DOS  mode”或“This program must be ru...
PE文件结构详解 --(完整版)
墨鱼菜鸡
07-11 6293
From:https://blog.csdn.net/adam001521/article/details/84658708 PE结构详解:https://www.cnblogs.com/zheh/p/4008268.html PE格式解析-区段表及导入表结构详解:https://blog.csdn.net/qq_30145355/article/d...
恶意代码分析实战课后练习题
11-04
恶意代码分析领域,实战经验至关重要。"恶意代码分析实战课后练习题"是一份针对这一主题的专业训练材料,旨在帮助学习者加深对恶意代码理解并提升分析技能。本资料结合MATLAB的学习,将理论与实践相结合,为学员...
恶意代码分析实战》官方实验样本
01-13
学习恶意代码分析,从官方下载的《恶意代码分析实战》课后实验样本。
恶意代码分析实战
12-06
恶意代码分析实战 .pdf
恶意代码分析实战.part2
08-14
本书一方面从内容上更侧重于恶意代码分析技术与实践方法,而非各类恶意代码的原理技术与检测对抗方法;另一方面更加侧重实用性,能够引导读者们在实际恶意代码样本分析过程中使用书籍中所介绍的各种分析技术、工具和...
可执行文件结构:PE文件结构讲解
qq_46145027的博客
05-02 2374
我们使用电脑时肯定会接触各种各样的应用程序,有应用程序就会有对应的可执行文件,比如最常见的.exe文件。事实上,Windows平台下,所有的可执行文件(包括EXE、DLL、SYS、OCX、COM......)使用的都是同一种文件结构,也就是PE(Portable Executable)文件结构。所以说所有可执行文件究其本质都可以叫它PE文件。这里要注意一点:事实上,一个文件是否是PE文件与其扩展名无关,PE文件可以是任何扩展名。 下面就来结合事例详细介绍一下PE文件到底是个什么东西。
恶意代码分析技术ppt
12-02
。。恶意代码分析技术ppt
网络安全-典型的恶意代码
A soul tortured by desire
08-29 2965
网络安全-典型的恶意代码 计算机病毒 蠕虫病毒 特洛伊木马 流氓软件
[系统安全] 三十二.恶意代码检测(2)常用技术详解及总结
杨秀璋的专栏
07-16 9395
前文从产业界和学术界分别详细讲解恶意代码攻击溯源的相关知识,在学术界方面,用类似于综述来介绍攻击追踪溯源的不同方法;在产业界方面,主要参考李东宏老师从企业恶意样本分析的角度介绍溯源工作。这篇文章将详细总结恶意代码检测技术,包括恶意代码检测的对象和策略、特征值检测技术、校验和检测技术、启发式扫描技术、虚拟机检测技术和主动防御技术。希望这篇文章对您有所帮助,如果文章中存在错误、理解不到位或侵权的地方,还请告知作者与海涵。且看且珍惜,加油~
学习笔记-第十二章 恶意代码分析实战
Yes_butter的博客
03-24 1492
第12章 隐蔽的恶意代码启动 1.启动器 启动器是一种设置自身或其他恶意代码片段以达到即使或将来秘密运行的恶意代码。 启动器的目的是安装一些东西,以使恶意行为对用户隐蔽。 启动器经常包含它要加载的恶意代码。最常见的情况是在它的资源节中包含一个可执行文件或者dll。 正常情况下,Windows pe文件格式中的资源节是供可执行程序使用的,但并不应该是可执行程序的 组成代码。正常资源节的内容...
如何保护.net中的dll文件(防止破解、反编译dll)
巴萨,足球的艺术
01-28 1280
如何保护.net中的dll文件(防止破解、反编译dll)  http://www.5icoding.com/n16058.aspx  .net是一种建立在虚拟机上执行的语言,它直接生成 MSIL 的中间语言,再由.net编译器 JIT 解释映象为本机代码并交付CPU执行。中间语言很容易被反编译,所以研究下如何有效的保护dll文件。我大致的方法为 :强签名+混淆+加密。强签名
恶意代码实战分析
d_0xff的博客
07-22 2550
第一章恶意代码分析技术。1.静态分析初级技术 静态分析就是检查可执行文件 但是不分析具体指令的的一些技术。静态分析可以确定一个文件是否是恶意的,提供有关其功能的信息。有时候还会提供一些信息让你能特征码够生成简单的特征码。 2.动态分析初级技术动态分析技术涉及到运行恶意代码并且观察系统上的行为,以移除感染产生有效的特征检测码,或者两者。 3.静态分析高级技术静态分析高级技术主要是对恶意代码内部机制的
恶意代码分析实战——Lab03-01.exe基础动态分析
妙蛙种子吃了都会妙妙秒的妙脆角的博客
11-02 4370
恶意代码分析实战——Lab03-01.exe基础动态分析篇 1.实验目的 综合运用各种分析工具,分析Lab03-01.exe的基本信息,并推测其功能。 2.实验环境(硬件、软件) VMware虚拟机(winxp): 硬件:处理器Intel® Core™ i5-10210U CPU @ 1.60GHz 2.11 GHz 软件:32位操作系统 kali虚拟机 3.实验步骤(详细描述操作过程,关键分析需要附截图) (1)静态分析 ①MD5值 ②peid分析 可以看到Lab03-01.exe已被加壳处理 ③
自己动手搭建恶意软件样本行为分析环境(一)
Magicbreaker的专栏
12-11 1572
互联网的飞速发展在给用户的日常工作生活带来了巨大方便的同时,也给各种各样的恶意软件提供了一片繁衍扩散的沃土。媒体上时有关于某种恶意软件大规模流行造成严重损失的报道。恶意软件的扩散早已引起信息安全业界的重视,各安全软件和杀毒软件厂商都有成型的解决方案。不过恶意软件的更新换代总是走在安全厂商的产品前面,恶意软件变种的出现速度越来越快,单纯使用防杀毒软件已不能完全保证用户远离恶意软件。本文提出一个分析W
恶意代码分析实战 pdf mobi
最新发布
08-30
恶意代码分析实战是一本介绍如何分析和应对恶意代码的实用指南。这本书提供了基础知识和实战经验,帮助读者了解和应对各种恶意代码的攻击。这本书的目标是帮助安全专家和研究人员提高对恶意代码分析的能力,并且给...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值