1.基础分析



2.详细介绍

2.1 指纹探测

恶意代码指纹探测技术有很多种,常见的有hash值探测、流量统计指纹、纹理指纹探测、图像指纹探测、动态行为指纹......

(1)hash值检测方法比较方便,但效率低。恶意程序稍微修改一下程序流程或加个免杀,就会产生不同的hash值。




(2)流量统计指纹:提取恶意代码流量中的包层特征和流层特征,对高维流层特征采用主成分分析进行降维,利用两类特征的概率密度函数建立恶意代码流量统计指纹,使用该指纹检测网络中恶意代码通信流量。


(3)图像指纹探测:将恶意代码反汇编文件绘制成图像,提取图像的全局指纹GIST特征描述符和局部指纹SIFT特征点,通过BoW模型对局部特征进行优化,最终获取图像指纹,并采用随机森林的方法实现恶意代码家族标注。


(4)动态行为指纹:筛选3种特征来描绘恶意软件的动态行为指纹:一是字符串的命名特征;二是注册表的变化特征;三是围绕关键API函数的调用顺序的特征.通过指纹匹配算法计算不同恶意代码之间的相似性度量,进行同源性分析

2.2 加壳检测

壳指的是可执行文件所具有的压缩、加密、保护作用的东西。

常见的壳:

压缩壳 加密壳 虚拟机保护软件
ASPacK ASProtect VMProtect
UPX Themida  
PECompact Armadillo  
NsPack EXECrypto  
查壳工具:PEID



其它查壳工具:GetTyp,pe-scan,

2.3 链接库与函数

链接库:静态链接库(大多lib)和动态链接库(大多dll)



研究工具:Dependency Walker



函数:windows的导入函数,导出函数

通过函数的名字可以判断出文件相应的功能。常见恶意函数=>
https://blog.csdn.net/xlsj228/article/details/91357527
<https://blog.csdn.net/xlsj228/article/details/91357527>

2.4 PE文件分析

文件头:DOS头与PE头

分节:



分析工具:Peview



三、基础动态分析

3.1 分析流程



3.2 Process Moniter

(1)选择svchost.exe



(2)CTRL+L打开过滤器



(3)输入PID,点击Add,然后点击OK



3.3 Process Explore



3.4 SRSniffer



 

友情链接
KaDraw流程图
API参考文档
OK工具箱
云服务器优惠
阿里云优惠券
腾讯云优惠券
华为云优惠券
站点信息
问题反馈
邮箱:ixiaoyang8@qq.com
QQ群:637538335
关注微信