常見惡意軟體工具分析(一)
在接下來的6個安全教程中我們會討論惡意軟體分析,以及可用的惡意軟體分析的基礎工具。惡意軟體分析師需要有高超的逆向技巧才能對惡意軟體有深入的了解,理解惡意軟體的片段和原理。
成為一個惡意軟體分析師需要深入了解操作系統,軟體,網路,程序,惡意軟體一般都是用彙編語言的。彙編語言介於高級程序語言和機器指令之間。換句話說:它將高級語言翻譯成機器指令然後被計算機硬體處理。
這篇教程中我們會使用簡單,流行的工具來進行基本的靜態惡意軟體分析,比如:PEiD來檢查殼,Dependency Walker來查看動態鏈接函數,Resource Hacker來查看惡意軟體資源,PEview和FileAlyzer來檢查PE文件頭和section。
這些工具用來進行基礎的靜態惡意軟體分析來判斷病毒的種類和函數,而不需要運行惡意軟體。運行分析惡意軟體將會在後續的教程中涉及。之後我們會學習惡意軟體分析的高級工具,包括靜態高級分析和動態高級分析。我們將會對工具進行一個簡介,然後在後續的章節中討論細節。後面會有手把手的教程。
正如之前所說的,我們將會跟進基礎的惡意軟體分析工具:PEiD, Dependency Walker, Resource Hacker, PEviewand FileAlyzer。為了方便我們將會提供下載鏈接,讓你構建自己的工具箱。你可以訂閱我們以便更新自己的工具箱。
PEiD
PEiD是一個用於檢測常用殼,加密,壓縮的小程序。惡意軟體編寫者通常會進行加殼和混淆讓惡意軟體不容易被檢測和分析。這個版本的PEiD可以檢查超過470種不同的PE文件簽名,這些數據存放在「userdb」這個txt文件中。官方的PEiD已經不怎麼更新了,你可以下載PEiD-0.95-20081103來完成後面的安全教程。
你需要用新的簽名文件替換掉原來的userdb.txt
Dependency Walker
另一個著名的惡意軟體分析工具是Dependency Walker。 Dependency Walter是一個免費軟體可以用來掃描32位和64位的windows模塊(.exe,.dll,.ocx等等),然後會列出所有的導入導出模塊。Dependency Walker也會列出文件需要的最小集合。Dependency Walker也會列出文件的詳細信息,包括文件路徑,版本號,機器類型,調試信息等等。
Resource Hacker
Resource Hacker,也叫做ResHackers,是一款用來提取windows二進位文件資源的免費軟體。ResourceHacker可以提取,添加,修改大部分的資源比如字元串,鏡像,菜單,對話框,版本信息,資源清單等等。最新版的Resource Hacker是4.2.4,在2015年7月發布的。
PEview
PEView是一款用來瀏覽PE文件頭和section的免費軟體。在後面的教程中我們會學習如何讀取這些頭的信息來驗證病毒。
FileAlyzer
FileAlyzer 也是用來讀取PE頭和section信息的免費軟體,但是比PEView提供更細節的信息。一個好的功能是與VirusTotal聯合,能夠將文件提交到VirusTotal上進行分析,得到UPX和PE壓縮的文件。
我們只是涉及到了基礎惡意軟體分析工具的一小部分。接下來我們會加入更多的工具,提供下載。如果你有任何關於工具的問題可以聯繫我們,如果有什麼建議也可以向我們提出。
本文原載時間2016年8月16日
推薦閱讀:
TAG:黑客工具 |