回归最本质的信息安全

常见恶意软件工具分析(一)

2016年8月16日发布

3,003
0
0

导语:在接下来的6个安全教程中我们会讨论恶意软件分析,以及可用的恶意软件分析的基础工具。恶意软件分析师需要有高超的逆向技巧才能对恶意软件有深入的了解,理解恶意软件的片段和原理。

在接下来的6个安全教程中我们会讨论恶意软件分析,以及可用的恶意软件分析的基础工具。恶意软件分析师需要有高超的逆向技巧才能对恶意软件有深入的了解,理解恶意软件的片段和原理。

成为一个恶意软件分析师需要深入了解操作系统,软件,网络,程序,恶意软件一般都是用汇编语言的。汇编语言介于高级程序语言和机器指令之间。换句话说:它将高级语言翻译成机器指令然后被计算机硬件处理。

这篇教程中我们会使用简单,流行的工具来进行基本的静态恶意软件分析,比如:PEiD来检查壳,Dependency Walker来查看动态链接函数,Resource Hacker来查看恶意软件资源,PEview和FileAlyzer来检查PE文件头和section。

这些工具用来进行基础的静态恶意软件分析来判断病毒的种类和函数,而不需要运行恶意软件。运行分析恶意软件将会在后续的教程中涉及。之后我们会学习恶意软件分析的高级工具,包括静态高级分析和动态高级分析。我们将会对工具进行一个简介,然后在后续的章节中讨论细节。后面会有手把手的教程。

正如之前所说的,我们将会跟进基础的恶意软件分析工具:PEiD, Dependency Walker, Resource Hacker, PEviewand FileAlyzer。为了方便我们将会提供下载链接,让你构建自己的工具箱。你可以订阅我们以便更新自己的工具箱。

PEiD

PEiD是一个用于检测常用壳,加密,压缩的小程序。恶意软件编写者通常会进行加壳和混淆让恶意软件不容易被检测和分析。这个版本的PEiD可以检查超过470种不同的PE文件签名,这些数据存放在“userdb”这个txt文件中。官方的PEiD已经不怎么更新了,你可以下载PEiD-0.95-20081103来完成后面的安全教程。

你需要用新的签名文件替换掉原来的userdb.txt

Dependency Walker

另一个著名的恶意软件分析工具是Dependency Walker。 Dependency Walter是一个免费软件可以用来扫描32位和64位的windows模块(.exe,.dll,.ocx等等),然后会列出所有的导入导出模块。Dependency Walker也会列出文件需要的最小集合。Dependency Walker也会列出文件的详细信息,包括文件路径,版本号,机器类型,调试信息等等。

Resource Hacker

Resource Hacker,也叫做ResHackers,是一款用来提取windows二进制文件资源的免费软件。ResourceHacker可以提取,添加,修改大部分的资源比如字符串,镜像,菜单,对话框,版本信息,资源清单等等。最新版的Resource Hacker是4.2.4,在2015年7月发布的。

PEview

PEView是一款用来浏览PE文件头和section的免费软件。在后面的教程中我们会学习如何读取这些头的信息来验证病毒。

FileAlyzer

FileAlyzer 也是用来读取PE头和section信息的免费软件,但是比PEView提供更细节的信息。一个好的功能是与VirusTotal联合,能够将文件提交到VirusTotal上进行分析,得到UPX和PE压缩的文件。

我们只是涉及到了基础恶意软件分析工具的一小部分。接下来我们会加入更多的工具,提供下载。如果你有任何关于工具的问题可以联系我们,如果有什么建议也可以向我们提出。

如若转载,请注明原文地址: http://www.4hou.com/info/news/2865.html

点赞 0
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

Change

Change

嘶吼编辑

发私信

发表评论