WEB开发网
开发学院网络安全黑客技术 国内资深黑客浅谈恶意代码的研究分析 阅读

国内资深黑客浅谈恶意代码的研究分析

 2008-06-05 16:48:23 来源:WEB开发网   
核心提示: 然后,我们通过静态反汇编工具(IDA等)对的恶意代码程序的PE文件进行反汇编,国内资深黑客浅谈恶意代码的研究分析(4),通过分析静态反汇编后的文件中所使用的字符串、API函数等信息,来判断此样本的基本功能和特点,发现还有一层Morphine的壳在使用,◆再次进行脱壳,通过查看PE文件的导入

然后,我们通过静态反汇编工具(IDA等)对的恶意代码程序的PE文件进行反汇编。通过分析静态反汇编后的文件中所使用的字符串、API函数等信息,来判断此样本的基本功能和特点。通过查看PE文件的导入表来判断基本功能和特点等。

最后,我们通过动态调试对恶意代码加载调试,进一步分析代码的操作。用动态调试器(OD等工具)载入病毒后,在程序进程的各个可疑的地方下断点,根据代码来确定恶意代码的有害操作。当然最后还要形成相关的恶意代码分析报告,并对恶意代码进行命名规范,而且还需要对样本使用MD5进行完整性校验。

下面叶子举个例子来对恶意代码进行分析:

从用户的网络环境中收集到熊猫烧香的变种样本,我们需要对其进行初步的分析及了解。我们先把病毒样本放入带有病毒分析环境的虚拟机中,包含分析过程需要的各种工具。

◆首先用PEID工具侦查其文件格式及壳的型号,如下图:

国内资深黑客浅谈恶意代码的研究分析

◆接着进行脱壳操作。(叶子在这里使用超级巡警的自动脱壳器,可以根据自己对工具的使用习惯进行选择自动脱壳工具或手工脱壳)

国内资深黑客浅谈恶意代码的研究分析

◆再次使用PEID进行侦查,发现还有一层Morphine的壳在使用。

国内资深黑客浅谈恶意代码的研究分析

◆再次进行脱壳,最后侦查的结果是使用Dephi语言进行编码。

上一页  1 2 3 4 5 6  下一页

Tags:国内 资深 黑客

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接