最近在学习病毒样本分析,有一些初级的感悟,希望和大家多多交流。
我是使用IDA进行反汇编分析病毒样本的,其实本人认为病毒解析在很大程度上是非理性的元素占得多一些,一个程序,若果从main函数开始一点一点的进行分析,少说也要一个礼拜才能够完成,而时间上付出的代价太大了,病毒样本的分析,我觉得更多的是经验上的积累,见得多了,就知道从哪里开始下手。
在IDA中可以用Strings window ,export,import这几个方面进行:
首先,进入到Strings window中,一个个看字符串的名字,比如 (1)
你看到了如上图的IP地址,就是一个需要注意的地方,这很可能是病毒网站的服务器IP,就要进去看看:
在DATA XREF 中点击右键,选中jump to cross reference 进去一步步走。
再比如(2)
在字符串中看到了网址,就可以搜一下这个站,看看它的属性O(∩_∩)O哈!
还有一点(3)也是很有意思的一点,有时你可以看到fuck,ignoramus等单词,这是写病毒的人写急眼了再泄愤,但也给我们告诉了,恶意代码的大概位置哈,因为在Windows下,微软可不会用笨蛋。。。这类的词的
接下来,在import中,主要注意的就是遍历进程,Create进程,删除进程等方面。
至于export中,看看哪些函数拿出了不应该拿出来的信息。
import和export我会过后细说。
恶意代码有一个挺像的地方,就是都不愿意在阳光下生活,他们总是生活在黑暗中,就是他们总是在程序中故意隐藏自己,若果在分析时发现谁,总是“低调”想把自己隐藏,大家就要多留心了。
再跟大家说个好玩的事,是我前辈给我说的,他们在进行病毒分析时发现某软件在更新时总是要偷偷地删除注册表里面的东西,并没有告诉任何人,后来发现这是某款流行杀毒软件,在更新时要先将自己的原有的一切干掉,照常理说,这是私自做的,但因为他也是杀软,所以把它放进了白名单。
我想说的是,其实恶意代码所处的环境很重要。希望和大家一同交流
转载请注明出处:http://blog.csdn.net/u010484477 O(∩_∩)O谢谢