恶意代码分析基础概念

恶意代码分析的目标:为一起网络入侵事件的响应提供所需信息。

基于主机的特征码(感染迹象),用于在受感染的主机上检测出恶意代码。(关注恶意代码对系统做了什么,而不是恶意代码本身)
网络特长吗是通过检测网络流量来检测恶意代码,网络特征码可以在没有进行恶意代码分析时创建,但在恶意代码分析帮助下提取特征码往往是更加有效的,可以提供更高的检测率和少的误报。

恶意代码分析技术

静态分析基础技术

静态分析技术包括检查可执行文件但不查看具体指令,静态分析可以确定一个文件是否是恶意的,提供有关功能的信息,有时还会提供一些信息让你能够生成简单的网络特征码。

动态分析基础技术

动态分析技术涉及运行恶意代码并观察其系统行为,以移除感染,产生有效的检测特征码,或者两者。

静态分析高级技术

静态分析高级技术,主要是对恶意代码内部机制的逆向工程,通过将可执行文件装载到反汇编器中,查看程序指令,来发现恶意代码到底做了什么。

动态分析高级技术

动态分析高级技术使用诸如调试器来检查一个而已可执行程序运行时刻的内部状态。动态分析高级技术提供了从可执行文件中抽取详细信息的另一条路径。

恶意代码类型

后门、僵尸网络、下载器、间谍软件、启动器(用来启动其他恶意代码幼隐蔽性和系统权限)、内核套件(用来隐蔽其他恶意代码的恶意代码)、勒索软件、发送垃圾邮件恶意代码、蠕虫或计算机病毒(可以自我复制和感染其他计算机的恶意代码)
还可分为:大众性、针对性

恶意代码分析通则

1、不要过于陷入细节;
2、对不同的工作使用不同的方法;
3、恶意代码分析是猫捉老鼠的游戏。

静态分析基础技术

0x01使用反病毒引擎
0x02文件md5值取得恶意代码指纹
0x03查找文件可见的String
对外部访问的网络相关字符串、库调用、dll调用等
0x04对加壳(或者混淆)文件的脱壳
0x05PE文件格式暴露重要信息
0x06

发布者

ShellV

大一萌新、笨蛋全栈开发者、信息爱好者、 速度滑冰/轮滑 运动员、裁判、教练员、 HIT动漫程序技术部吉祥物、AcgBug团队负责人、AcgBag.com小站长