1.基础分析

2.详细介绍

2.1 指纹探测

恶意代码指纹探测技术有很多种,常见的有hash值探测、流量统计指纹、纹理指纹探测、图像指纹探测、动态行为指纹......

(1)hash值检测方法比较方便,但效率低。恶意程序稍微修改一下程序流程或加个免杀,就会产生不同的hash值。

(2)流量统计指纹:提取恶意代码流量中的包层特征和流层特征,对高维流层特征采用主成分分析进行降维,利用两类特征的概率密度函数建立恶意代码流量统计指纹,使用该指纹检测网络中恶意代码通信流量。

(3)图像指纹探测:将恶意代码反汇编文件绘制成图像,提取图像的全局指纹GIST特征描述符和局部指纹SIFT特征点,通过BoW模型对局部特征进行优化,最终获取图像指纹,并采用随机森林的方法实现恶意代码家族标注。

(4)动态行为指纹:筛选3种特征来描绘恶意软件的动态行为指纹:一是字符串的命名特征;二是注册表的变化特征;三是围绕关键API函数的调用顺序的特征.通过指纹匹配算法计算不同恶意代码之间的相似性度量,进行同源性分析

2.2 加壳检测

壳指的是可执行文件所具有的压缩、加密、保护作用的东西。

常见的壳:

压缩壳 加密壳 虚拟机保护软件
ASPacK ASProtect VMProtect
UPX Themida  
PECompact Armadillo  
NsPack EXECrypto  

查壳工具:PEID

其它查壳工具:GetTyp,pe-scan,

2.3 链接库与函数

链接库:静态链接库(大多lib)和动态链接库(大多dll)

研究工具:Dependency Walker

函数:windows的导入函数,导出函数

通过函数的名字可以判断出文件相应的功能。常见恶意函数=>https://blog.csdn.net/xlsj228/article/details/91357527

2.4 PE文件分析

文件头:DOS头与PE头

分节:

分析工具:Peview

三、基础动态分析

3.1 分析流程

3.2 Process Moniter

(1)选择svchost.exe

(2)CTRL+L打开过滤器

(3)输入PID,点击Add,然后点击OK

3.3 Process Explore

3.4 SRSniffer

恶意代码分析实战学习——静态分析相关推荐

  1. 恶意代码分析实战-通过IDA对恶意代码进行静态分析(Lab05-01.dll)

    本文章为<恶意代码分析实战>的题目答案解析以及个人的一些理解,将通过一下问题对恶意代码Lab05-01.dll进行分析: D1lMain的地址是什么? 使用Imports窗口并浏览到get ...

  2. MS08067 第一期 “恶意代码分析”实战班 正式开班~

    文章来源|MS08067安全实验室 恶意代码分析实战班 恶意代码分析的分类: 恶意代码分析也可作为单独的安全专业类别来看待,不过总体是偏逆向方向的,希望的受众是逆向相关的就行了,比如以前只会逆向但是不 ...

  3. 恶意代码分析实战Lab1

    第一章静态分析基础技术 恶意代码分析实战 恶意代码样本下载 1.1反病毒引擎扫描 1.2哈希值 1.3查找字符串 1.4加壳与混淆恶意代码 1.5PE文件格式 1.6链接库与函数 1.7静态分析技术实 ...

  4. 学习笔记-第十四章 恶意代码分析实战

    第十四章 恶意代码的网络特征 1.网络应对措施. 网络行为的基本属性包括IP地址,TCP端口,以及流量内容等,网络和安全 设备可以利用它们,来提供网络应对措施.根据IP地址和端口,防火墙和路由器可以限 ...

  5. 恶意代码分析实战Lab03-01

    注:分析恶意代码一定要在安全的环境下,如与主机和外网隔离的虚拟机=>网络适配器选择主机模式或模拟一个与主机和外网隔离的虚拟网络:以及给拍个干净快照: 平台:博客园 恶意代码分析:虚拟网络环境配置 ...

  6. 学习笔记-第一章 恶意代码分析实战

    第一章 从可执行文件提取有用信息的多种方法,包括以下技术:1.使用反病毒软件来确认程序样本的恶意性:2.使用哈希来识别恶意代码:3.从文件的字符串列表,函数和文件头信息中发掘有用信息.字符串包括 AS ...

  7. 学习笔记-第十二章 恶意代码分析实战

    第12章 隐蔽的恶意代码启动 1.启动器启动器是一种设置自身或其他恶意代码片段以达到即使或将来秘密运行的恶意代码.启动器的目的是安装一些东西,以使恶意行为对用户隐蔽.启动器经常包含它要加载的恶意代码. ...

  8. 学习笔记-第九章 恶意代码分析实战

    第九章 OllyDbg 1.加载恶意代码直接加载可执行文件,甚至dll程序.如果恶意代码已经在你的系统上运行,你可以通过附加进程的方式调试它.另外,ollydbg是一个灵活的调试系统,可以使用命令行选 ...

  9. 《恶意代码分析实战》第3章 动态分析基础技术(课后实验Lab 3)

      一名网络空间安全专业学生学习本书过程中记录下所做实验,如有错误或有待改进的地方,还请大家多多指教. 第3章 动态分析基础技术(实验) Lab 3-1:使用动态分析基础技术来分析在Lab03-01. ...

  10. 恶意代码分析实战 11 恶意代码的网络特征

    11.1 Lab14-01 问题 恶意代码使用了哪些网络库?它们的优势是什么? 使用WireShark进行动态分析. 使用另外的机器进行分析对比可知,User-Agent不是硬编码. 请求的URL值得 ...

最新文章

  1. 动态加载子节点_微信小游戏开发之场景切换和常驻节点传递数据
  2. Asp.net SignalR 实现服务端消息推送到Web端
  3. python在线翻译脚本_python写一个翻译的小脚本
  4. kata_Java中的功能性FizzBu​​zz Kata
  5. java scanner类 构造器_java – 不能使用Scanner类,构造函数未定义,方法未定义
  6. python模拟内置函数all_Python内置all函数详细介绍
  7. java控制结构_Java 控制结构与方法
  8. iOS ijkplayer 硬解H265(hevc)4k视频问题解决
  9. ES3之cookie
  10. 每天学命令write_ldb
  11. 龚本灿c语言程序设计,c语言程序设计初步-求索学堂.ppt
  12. ios-弹窗输入六位密码
  13. 欧拉系统搭建k8s网络
  14. 【PMAC】Chapter4:PMAC的C#开发
  15. 数据库DQL单表查询
  16. Android系统升级
  17. linux samba 实验 Windows无法访问\\ 请检查名称的拼写。否则,网络可能有问题。 就一个小问题!!已解决!!!
  18. 使用GitHub Pages+Hexo 搭建个人网站详细教程
  19. leetcode202快乐数(JAVA版)
  20. JAVA中oracle分页语句,oracle分页查询语句,java得到分页查询语句的方法

热门文章

  1. Linux 串口驱动与使用
  2. 基于单片机的自动追日系统设计_电机太阳论文,关于基于Atmega32的主动式太阳能追日系统相关参考文献资料-免费论文范文...
  3. 基于snowflake的序列号生成器
  4. MFC 获取窗口句柄
  5. 中兴2016笔试题答案Java_中兴笔试题和面试题答案与答案
  6. 大话数据结构学习笔记
  7. mmdetection源码笔记(二):创建网络模型之registry.py和builder.py解读(上)
  8. 百度地图离线调用(详细教程)
  9. extjs ueditor 图片_Ext整合ueditor示例
  10. 微信小程序原生实现好看的日期选择插件-万年历