恶意代码分析实战学习——静态分析

1.基础分析



2.详细介绍

2.1 指纹探测

恶意代码指纹探测技术有很多种，常见的有hash值探测、流量统计指纹、纹理指纹探测、图像指纹探测、动态行为指纹......

（1）hash值检测方法比较方便，但效率低。恶意程序稍微修改一下程序流程或加个免杀，就会产生不同的hash值。




（2）流量统计指纹：提取恶意代码流量中的包层特征和流层特征,对高维流层特征采用主成分分析进行降维,利用两类特征的概率密度函数建立恶意代码流量统计指纹,使用该指纹检测网络中恶意代码通信流量。


（3）图像指纹探测：将恶意代码反汇编文件绘制成图像,提取图像的全局指纹GIST特征描述符和局部指纹SIFT特征点,通过BoW模型对局部特征进行优化,最终获取图像指纹,并采用随机森林的方法实现恶意代码家族标注。


（4）动态行为指纹：筛选3种特征来描绘恶意软件的动态行为指纹:一是字符串的命名特征;二是注册表的变化特征;三是围绕关键API函数的调用顺序的特征.通过指纹匹配算法计算不同恶意代码之间的相似性度量,进行同源性分析

2.2 加壳检测

壳指的是可执行文件所具有的压缩、加密、保护作用的东西。

常见的壳：

压缩壳 加密壳 虚拟机保护软件
ASPacK ASProtect VMProtect
UPX Themida  
PECompact Armadillo  
NsPack EXECrypto  
查壳工具：PEID



其它查壳工具：GetTyp，pe-scan,

2.3 链接库与函数

链接库：静态链接库(大多lib)和动态链接库（大多dll）



研究工具：Dependency Walker



函数：windows的导入函数，导出函数

通过函数的名字可以判断出文件相应的功能。常见恶意函数=>
https://blog.csdn.net/xlsj228/article/details/91357527
<https://blog.csdn.net/xlsj228/article/details/91357527>

2.4 PE文件分析

文件头：DOS头与PE头

分节：



分析工具：Peview



三、基础动态分析

3.1 分析流程



3.2 Process Moniter

（1）选择svchost.exe



（2）CTRL+L打开过滤器



（3）输入PID，点击Add，然后点击OK



3.3 Process Explore



3.4 SRSniffer



 

• « 上一篇：.NET Core CSharp初级篇 1-5 接口、枚举、抽象
• » 下一篇：微信公众号项目-day01思路整理