推广软件开发分析规范

一、规范目的
本规范针对推广软件包，从开发的角度，分析推广包是否存在360无法过白以及与我司利益相冲突的情况，并明确操作流程。

二、操作流程
根据360反馈的过白失败原因，针对各种可能存在的原因采取相应的操作流程。

（一）、分析是否存在无法访问的域名
1、用反汇编工具IDA打开需要分析的推广软件二进制文件：
File->Open…->二进制文件(exe文件)
2、等待IDA自动分析过程完成。
3、用IDA工具查看该二进制文件包含的字符串：
View->Open subviews->Strings
4、在IDA字符串窗口查看域名字符串：

5、在接口测试工具Postman中请求查找到的域名：

如果Status显示的是非200的返回值，说明该域名无法正确访问，如果出现这种情况，则有可能无法过白。

（二）、分析是否存在无法访问的接口
1、在测试环境下运行Wireshark网络封包分析工具。
2、安装并运行需要分析的推广软件的二进制文件。
3、在IDA中查看需要测试的域名。
4、在Wireshark的过滤规则输入框中按如下规则过滤域名：
http.host contains 域名

5、在Wireshark的封包列表中将会显示所有与该域名相关的接口信息：

6、在Wireshark的封包详细信息中查看需要测试的域名接口：

7、在接口测试工具Postman中请求查找到的域名：

如果Status显示的是非200的返回值，说明该域名无法正确访问，出现这种情况，则有可能无法过白。

（三）、分析是否访问不存在的文件
1、用IDA工具查看该二进制文件包含的字符串：
View->Open subviews->Strings
2、在IDA字符串窗口搜索常见文件后缀，IDA字符串窗口会显示该二进制代码中包含的该类型文件名：

3、在文件搜索工具everything中逐一搜索上述出现的文件名。

4、安装并运行需要分析的推广软件的二进制文件。
5、在文件搜索工具everything中再次逐一搜索上述出现的文件名，将搜索结果与上次搜索结果进行对比，查看是否有上述文件生成，如果没有上述文件生成，则有可能无法过白。

（四）、分析是否存在杀软检测行为
1、在IDA中加载需要分析的推广软件二进制文件。
2、在IDA的字符串窗口搜索如下字符：
“qqpcrtp.exe”、“qqpctray.exe”、“zhudongfangyu.exe”、“360tray.exe”、“kxescore.exe”、“baiduantray.exe”、“msmpeng.exe”、“2345safetray.exe”、“HipsDaemon.exe”、“HipsTray.exe”。
3、如果存在上述字符串，则有可能无法过白。如果不存在上述字符串，则在IDA中查看是否包含如下类似代码，如果存在则有可能无法过白。

（五）、分析是否存在网吧环境检测行为
1、在IDA中加载需要分析的推广软件二进制文件。
2、在IDA的字符串窗口搜索如下字符串：
“vdiskbus”、“netzone”、“diskless”、“richdisk”、“deepin”、“kic.disk”、“nmenu”、“alddisk”、“vhd cms”、“mzd.live”、“ccboot”、“vnd scsi”、“bnvirtualscsihba”、“bxp virtual”、“s.t. virtual”、“kb.mdisk”、“hin virtual”、“obm virtual”、“msft virtual”。
3、如果存在上述字符串，则有可能无法过白。如果不存在上述字符串，则在IDA中查看是否包含如下类似代码，如果存在则有可能无法过白。

（六）、分析是否存在检测调试环境的行为
1、在IDA中加载需要分析的推广软件二进制文件。
2、在IDA的字符串窗口搜索如下字符：
“IsDebuggerPresent”、“CheckRemoteDebuggerPresent”。
3、如果存在上述字符串，则有可能无法过白。如果不存在上述字符串，则在IDA中查看是否包含如下类似代码，如果存在则有可能无法过白。

（七）、分析是否存在明文传输密码，不符合安全规范
1、在测试环境下运行Wireshark网络封包分析工具。
2、安装并运行需要分析的推广软件的二进制文件，并进行登录操作。
3、在Wireshark的封包列表中查看相关网络请求封包。

4、在Wireshark的封包详细信息中查看网络请求封包中的用户名和密码字段，如果是明文传输的，有可能无法过白。

（八）、分析是否存在反调试行为
1、用动态调试工具OllyDBG打开需要分析的推广软件二进制文件：
File->Open…->二进制文件(exe文件)
2、在动态调试工具OllyDBG中运行该二进制文件：
Debug->Run(F9)

3、观察二进制文件的运行情况，如果没有错误提示且自动退出应用程序，说明该二进制文件存在检测调试环境的行为，有可能无法过白。

（九）、分析是否存在浏览器变现行为
1、在IDA中加载需要分析的推广软件二进制文件。
2、在IDA的字符串窗口搜索常见浏览器进程名。
3、如果存在常见浏览器进程名字符串，则有可能无法过白。如果不存在上述字符串，则在IDA中查看是否包含与浏览器相关操作的代码，如果存在则有可能无法过白。

（十）、分析是否存在检测虚拟机环境的行为
1、在IDA中加载需要分析的推广软件二进制文件。
2、利用IDA的反编译成伪代码（F5）的功能按照代码流程分析代码。
View->Open subviews->Generate pseudocode
3、检测虚拟机分为如下几种情况：
（1）获取虚拟网络适配器，因为虚拟机虚拟出来的网卡带有关键字VM或Virtual，代码如下：

（2）直接检测是否运行VMWare虚拟机程序。
（3）通过LDT和GDT检测虚拟机。代码如下：

（十一）、分析是否存在检测MAC地址的行为
1、在IDA中加载需要分析的推广软件二进制文件。
2、利用IDA的反编译成伪代码（F5）的功能按照代码流程分析代码。
View->Open subviews->Generate pseudocode
3、按照程序流程查看代码，如果包含以下类似代码，包括典型的获取网络适配器信息以及mac地址格式化信息，则有可能无法过白。

（十二）、基于开源软件而没有对基本信息做任何更改
1、首先需要了解当前比较流行的开源软件，可以从几个基本类别进行了解，比如压缩软件7zip（国内众多压缩软件都是基于此开源代码，比如：快压、好压、速压等），文本编辑类软件Notepad2（比如豆麦笔记和小黑记事本等）。
2、在测试机环境下安装拿到的推广软件安装包，在安装目录观察释放的文件。
3、针对不同的类别存在不同的情况：
（1）如果存在7zFM.exe和7zG.exe，则说明此软件基于7zip开发，如果没有更改此文件名，可能存在无法过白。
（2）如果存在notepad2.exe，则说明此软件基于Notepad2开发，如果没有更改此文件名，可能存在无法过白。

（十三）、分析是否存在请求不相关的baidu、jd、taobao等网站
1、在IDA中加载需要检测的二进制文件。
2、待IDA自动分析结束。
3、在IDA的字符串窗口中查找“baidu”、“jd”、“taobao”等字符串。如果存在相关网站的推广行为，如下：
（1）百度的推广链接：
https://www.baidu.com/?tn=48021271_17_hao_pg
（2）京东的推广链接：
https://www.jd.com/?cu=true&utm_source=www.jiegeng.com&utm_medium=tuiguang&utm_campaign=t_1000159524_&utm_term=47cf2e1e151e49158747cacf2b74b6ca
（3）淘宝的推广链接：
https://ai.taobao.com/?pid=mm_121791806_21458534_72100314
4、如果存在以上的推广链接，则有可能存在无法过白的情况。

（十四）、分析是否存在链接库版本错误的情况
1、在测试机环境下安装并运行需要分析的推广软件二进制文件。
2、点击运行安装目录下的所有可执行程序，如果弹出如下类似提示：

在安装目录下可以发现存在libcurl.dll，而提示计算机丢失libcurld.dll，说明可执行程序在编译生成的时候链接的是debug版本的动态链接库，而安装程序释放的是release版本的动态链接库，这样导致程序无法正常运行，则有可能存在无法过白的情况。
3、可以通过PEiD工具查看验证可执行程序的编译版本：

可以看到通过PEiD工具查看idesk.exe的编译生成选项是debug版本的，而libcurl.dll是release版本的。

（十五）、分析是否存在服务并存在云控行为
1、在测试机环境下安装并运行需要分析的推广软件的二进制文件。
2、打开进程侦测工具Process Explorer并观察系统中的进程情况。
3、查看是否存在异常进程存在于系统服务svchost.exe中：

4、在Process Explorer中查看由异常进程拉起的其他进程：

5、在任务管理器中查看相关进程拉起的推广进程，根据进程启动参数可以判断是否存在云控行为：

6、如果存在以上行为的，可能会存在无法过白的情况。

（十六）、分析是否存在加密PE数据并解密运行的行为
1、利用静态分析工具IDA加载需要分析的推广软件的二进制文件。
2、等待IDA自动分析完成，并搜索是否含有与资源加载相关函数：
FindResourceW
LoadResource
3、定位到相关代码处，分析代码是否存在资源加载的行为：

可以看到加载的资源类型是二进制数据。
4、接下来应该判断该二进制数据是否是PE格式文件，继续跟踪上述加载二进制数据资源的代码，比如上述代码中的函数sub_100062B0：

其中23117为十六进制5A4D，其中5A4D为字符串“MZ”，是PE文件的IMAGE_DOS_HEADER的标志：

根据此标志判断解密后的数据是否为PE格式文件，可以判断为加解密PE文件行为，如果该PE文件存在360报毒或报警行为，则有可能整个可执行程序无法过白。

三、备注（新增的360反馈）
根据360反馈的过白失败的原因，如果不在上述范围，则将形成新的操作流程的检测方法加入到该规范，持续更新。

欢迎使用Markdown编辑器

你好！这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdown编辑器, 可以仔细阅读这篇文章，了解一下Markdown的基本语法知识。

新的改变

我们对Markdown编辑器进行了一些功能拓展与语法支持，除了标准的Markdown编辑器功能，我们增加了如下几点新功能，帮助你用它写博客：

全新的界面设计 ，将会带来全新的写作体验；
在创作中心设置你喜爱的代码高亮样式，Markdown 将代码片显示选择的高亮样式 进行展示；
增加了 图片拖拽 功能，你可以将本地的图片直接拖拽到编辑区域直接展示；
全新的 KaTeX数学公式 语法；
增加了支持甘特图的mermaid语法¹ 功能；
增加了 多屏幕编辑 Markdown文章功能；
增加了 焦点写作模式、预览模式、简洁写作模式、左右区域同步滚轮设置 等功能，功能按钮位于编辑区域与预览区域中间；
增加了 检查列表 功能。

功能快捷键

撤销：Ctrl/Command + Z
重做：Ctrl/Command + Y
加粗：Ctrl/Command + B
斜体：Ctrl/Command + I
标题：Ctrl/Command + Shift + H
无序列表：Ctrl/Command + Shift + U
有序列表：Ctrl/Command + Shift + O
检查列表：Ctrl/Command + Shift + C
插入代码：Ctrl/Command + Shift + K
插入链接：Ctrl/Command + Shift + L
插入图片：Ctrl/Command + Shift + G

合理的创建标题，有助于目录的生成

直接输入1次#，并按下space后，将生成1级标题。
输入2次#，并按下space后，将生成2级标题。
以此类推，我们支持6级标题。有助于使用TOC语法后生成一个完美的目录。

如何改变文本的样式

强调文本 强调文本

加粗文本 加粗文本

标记文本

删除文本

引用文本

H₂O is是液体。

2¹⁰ 运算结果是 1024.

插入链接与图片

链接: link.

图片:

带尺寸的图片:

居中的图片:

居中并且带尺寸的图片:

当然，我们为了让用户更加便捷，我们增加了图片拖拽功能。

如何插入一段漂亮的代码片

去博客设置页面，选择一款你喜欢的代码片高亮样式，下面展示同样高亮的 代码片.

// An highlighted block
var foo = 'bar';

生成一个适合你的列表

项目
- 项目
  - 项目

项目1
项目2
项目3

计划任务
完成任务

创建一个表格

一个简单的表格是这么创建的：

项目	Value
电脑	$1600
手机	$12
导管	$1

设定内容居中、居左、居右

使用:---------:居中
使用:----------居左
使用----------:居右

第一列	第二列	第三列
第一列文本居中	第二列文本居右	第三列文本居左

SmartyPants

SmartyPants将ASCII标点字符转换为“智能”印刷标点HTML实体。例如：

TYPE	ASCII	HTML
Single backticks	`'Isn't this fun?'`	‘Isn’t this fun?’
Quotes	`"Isn't this fun?"`	“Isn’t this fun?”
Dashes	`-- is en-dash, --- is em-dash`	– is en-dash, — is em-dash

创建一个自定义列表

Markdown: Text-to-HTML conversion tool
Authors: John; Luke

如何创建一个注脚

一个具有注脚的文本。²

注释也是必不可少的

Markdown将文本转换为 HTML。

KaTeX数学公式

您可以使用渲染LaTeX数学表达式 KaTeX:

Gamma公式展示 Γ(n)=(n−1)!∀n∈N\Gamma(n) = (n-1)!\quad\forall n\in\mathbb NΓ(n)=(n−1)!∀n∈N 是通过欧拉积分

Γ(z)=∫0∞tz−1e−tdt .\Gamma(z) = \int_0^\infty t^{z-1}e^{-t}dt\,. Γ(z)=∫0∞tz−1e−tdt.

你可以找到更多关于的信息 LaTeX 数学表达式here.

新的甘特图功能，丰富你的文章

Mon 06Mon 13Mon 20已完成进行中计划一计划二现有任务Adding GANTT diagram functionality to mermaid

关于 甘特图 语法，参考这儿,

UML 图表

可以使用UML图表进行渲染。 Mermaid. 例如下面产生的一个序列图：:

张三李四王五你好！李四, 最近怎么样?你最近怎么样，王五？我很好，谢谢!我很好，谢谢!李四想了很长时间,文字太长了不适合放在一行.打量着王五...很好... 王五, 你怎么样?张三李四王五

这将产生一个流程图。:

链接

长方形

圆

圆角长方形

菱形

关于 Mermaid 语法，参考这儿,

FLowchart流程图

我们依旧会支持flowchart的流程图：

Created with Raphaël 2.2.0开始我的操作确认？结束yesno

关于 Flowchart流程图 语法，参考这儿.

导出与导入

导出

如果你想尝试使用此编辑器, 你可以在此篇文章任意编辑。当你完成了一篇文章的写作, 在上方工具栏找到 文章导出 ，生成一个.md文件或者.html文件进行本地保存。

导入

如果你想加载一篇你写过的.md文件，在上方工具栏可以选择导入功能进行对应扩展名的文件导入，
继续你的创作。

mermaid语法说明 ↩︎
注脚的解释 ↩︎

推广软件开发分析规范相关推荐

软件开发编码规范_如果您只喜欢编码，请不要成为软件开发人员
软件开发编码规范 If you are starting now or thinking about to start a software development career. Or even i ...
华为软件开发行为规范
https://wenku.baidu.com/view/3696dec3534de518964bcf84b9d528ea81c72f3f.html https://www.cnblogs.com/z ...
7.16模块及软件开发目录规范
模块 1.什么是模块? 就是一系列功能的结合体 2.模块的三种来源 (1)内置的(python解释器自带) (2)第三方的(别人写的) (3)自定义的(你自己写的) 3.模块的四种表现 (1)使用py ...
Python模块：Re模块、附软件开发目录规范
Re模块:(正则表达式) 正则表达式就是字符串的匹配规则正则表达式在多数编程语言里都有相应的支持,Python里面对应的模块时re 常用的表达式规则:(都需要记住) " . " ...
Python 编程规范和软件开发目录规范的重要性
文章目录 1 编程规范的重要性 1.1 注释 Python 中的特殊注释 1.2 规范命名变量: 1.2.1 变量定义规则: 1.2.2 变量规范命名注意事项: 1.2.3 总体命名规则: 1.3 排 ...
软件开发管理规范(制度)
版本页标题:China Advanced Construction Materials Group信息技术管理制度主题: 软件开发管理制度文档编号: 版本说明: 版本号版本日 ...
软件开发管理规范流程图
项目管理的根本目的是按时.保质.保量完成预期交付的成果.项目管理要让整个组织能清楚理解项目实施的目的.影响.进度,应做到项目组所有员工都应理解项目实施的原因.意义及客户的要求.在项目管理中还能看到公司 ...
模块简介/模块的导入/模块的查找顺序/绝对导入和相对导入/软件开发目录规范...
一.模块的简介什么是模块: 模块就是一系列功能的结合体模块的三种来源: 1.内置的 2.第三方的 3.自定义的模块的四种表现形式: 1.使用python编写的py文件(也就意味着py文件也可以称 ...
软件开发编程规范及原则
推荐分享一个大神的人工智能教程.零基础!通俗易懂!风趣幽默!还带黄段子!希望你也加入到人工智能的队伍中来!http://www.captainbed.net/strongerhuang 我的网站:h ...
python软件开发目录_软件开发目录规范
为了提高程序的可读性与可维护性,我们应该为软件设计良好的目录结构,这与规范的编码风格同等重要.软件的目录规范并无硬性标准,只要清晰可读即可,假设你的软件名为foo,笔者推荐目录结构如下 Foo/ |- ...