書中的例子
fakenet模擬網路的工具
加殼後的惡意程式列印的字串很少
注意:加殼的惡意**至少會包含loadlibary 和 getprocaddress兩個api函式 ,它們用來載入和使用其它函式功能
加殼程式
upx加殼工具 官網
脫殼upx.exe -d pefile
pe portable file format(可移植檔案) dll exe
pe檔案的匯入表 其它檔案的函式 鏈結在主函式中
常見的dll
windows api的命令規範
a ansi版本的api
w unicode版本的api
ex 後面擴充套件的api
如messageboxw messageboxa createwindowexpe頭中包含檔案使用的特定函式相關資訊
用來提供給其它程式使用的函式資訊
pe節
使用python 解析pe檔案,
#-*- coding:utf-8 -*-
import pefile,sys
#輸出檔案的pe頭部資訊
pe檔案格式
pe檔案格式可參考這個
第1章 靜態分析
1.1反病毒引擎掃瞄 virustotal virscan 1.2雜湊值 惡意 的指紋 md5計算軟體 md5deep winmd5 1.3查詢字串 編碼 ascll 單位元組 unicode 雙位元組 1.4加殼與混淆惡意 tips 加殼程式至少包含loadlibrary和getprocaddre...
第1章 靜態分析實驗題
lab1 1 question 1.上傳檔案至virustotal,有相應的反病毒特徵 2.使用peview無法檢視檔案編譯時間,但virustotal結果顯示 creation time 2010 12 19 16 16 38 creation time 2010 12 19 16 16 19 3...
第3章 動態分析基礎技術
動態分析可觀察惡意 的真實行為 缺點 沙箱只能簡單的執行惡意程式 當程式有命令引數,或後門程式需要接收指令才能執行,在沙箱中無法啟動的。啟動dll rundll32.exe dllname,export argumentsexport arguments中dll檔案匯出表中的函式或者序號 如rund...