样本分析准备
基础知识:
1.需要具备一定的开发能力
2.熟悉汇编语言
3.PE文件结构的掌握
工具使用:
熟练掌握以下常用工具的功能,基于以下工具展开详细分析,可以对病毒样本进行一个详细流程和功能分析,从而分析还原出关键的病毒功能,及研究对应的对抗方案。
样本分析流程
对一个病毒样本或者软件详细分析,一般可以通过五个步骤进行分析样本功能:样本基本属性、样本结构、样本静态分析、样本功能行为监控、样本动态分析。基于以上的五个步骤基本上可以分析出详细的样本功能实现。
样本基本信息
通过PEID、ExeInfoPE工具分析出样本的几个基本属性。
通过Hasher工具可以分析出样本的MD5、sha1、CRC32的属性值。
PEID、ExeInfoPE两个工具原理:
通过解析PE文件结构解析出样本的区段信息、通过匹配征码方式匹配出样本是否加壳、加什么壳,样本开发语言和开发工具。
样本功能分析
病毒样本功能可以从几个维度分析:自启动(服务器,注册表)、释放文件、网络通信、加密解密。
主要通过静态IDA分析和动态ollydbg分析相结合,通过IDA分析出样本中的流程结构(也重点
转载请注明:http://www.wangguoqiangq.com/sglbzy/9762.html
