新聞動態(tài)
惡意程序分析方法
2023-03-29 00:00:00
?+
+
惡意程序分析方法
快速分析技術(shù)+日志分析技術(shù)→提取特征碼+簡要報告
靜態(tài)分析技術(shù)+動態(tài)分析技術(shù)→提取特征碼+詳細分析報告+專殺工具開發(fā)+獲取C2
1、在線反病毒引擎
2、hash獲取 certutil -hashfile 01.惡意代碼基礎(chǔ)知識.exe MD5
或者用電腦自帶crc sha
3、查找字符串 hive string ida 火絨劍
4、查殼 pied
這個是沒有殼的,什么都沒找到或者顯示其他名稱是有殼
5、導(dǎo)入導(dǎo)出函數(shù)
獲取函數(shù)地址+加載動態(tài)鏈接庫→動態(tài)尋找 winexec執(zhí)行
創(chuàng)建文件+寫文件+移動文件→移動自身,進行隱藏
打開進程+創(chuàng)建遠程線程→遠程線程注入
尋找資源+資源尺寸+加載資源→說明程序得資源段里面有隱藏得東西,在釋放可執(zhí)行文件
進行權(quán)限相關(guān)得操作。懷疑是提權(quán)
下載器和啟動器—沒有實際的惡意功能
6、獲取資源信息
dos頭+pe頭→可執(zhí)行程序,windows下的pe程序
發(fā)現(xiàn)是下載文件+執(zhí)行→下載器
7、在線沙箱
E·N·D
本文由創(chuàng)信華通創(chuàng)安實驗室編輯。
本文僅限于個人學(xué)習(xí)和技術(shù)研究,由于傳播、利用此文所提供的信息而造成刑事案件、非授權(quán)攻擊等違法行為,均由使用者本人負責(zé),本單位不為此承擔(dān)任何責(zé)任。創(chuàng)安攻防實驗室擁有對此文章的修改和解釋權(quán),如欲轉(zhuǎn)載或傳播此文章,必須保證此文章的完整性,包括版權(quán)聲明等全部內(nèi)容。
如有侵權(quán),請聯(lián)系后臺。
電話:400-6446-808 028-85328724 19960399374
郵編:610000
地址:成都市武侯區(qū)天府二街蜀都中心一期 2號樓3003
![]()
關(guān)注微信公眾號
版權(quán)所有 ? 成都創(chuàng)信華通信息技術(shù)有限公司
技術(shù)支持:協(xié)伴云|商協(xié)會管理系統(tǒng)