Pe文件静态分析

最新推荐文章于 2025-05-19 11:23:13 发布
原创 最新推荐文章于 2025-05-19 11:23:13 发布 · 1.8k 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了PE文件静态分析,包括获取程序基本信息、编译时间、子系统、加壳检测方法。通过查看PE结构、使用特定工具,如DIE、Exeinfo和PEiD,以及分析依赖库、字符串等,来辅助分析程序行为特征。

Pe文件静态分析能够获取到哪些信息

在分析一个样本之前,通常会需要静态分析,如何从PE文件格式中获取到需要的信息就很重要。只有在静态分析时对文件的一些布局信息有了理解,例如是是否被加壳了(虽然可以用查壳工具,但是还是需要知道一些原理),文件时图形化界面(GUI)还是命令执行程序(CUI)等信息的提取和掌握,分析时才会更清晰要做什么,做到心中有数。下面是在阅读《恶意软件分析实战》第一章中的一些整理笔记,希望为后续的学习和分析中提供一些基础理论知识来支撑。

程序的基本信息特征

采集程序的md5 sha1 sha-256的信息,之后到virutotal hybird anyrun等在线沙箱去做分析,查看一些分析报告的信息。这里推荐使用hashmyfiles,如下

在这里插入图片描述
使用上述特征到在线分析网站查找即可。如下是virutotal的查找结果
在这里插入图片描述

程序的编译时间

使用PEView查看PEIMAGE_NT_HEADERS-->IMAGE_FILE_HEADER-->Time Date Stamp,如下

最低0.47元/天 解锁文章
病毒分析系列2 | 使用PE工具进行初步静态分析
SpaceSec的博客
11-02 6347
接上篇。进行病毒分析时,在进行具体的病毒行为分析前,需要或许可疑文件的基本信息,此时可以使用pe工具进行分析和获取在该文章中所涉及的知识主要是pe文件格式的相关知识,使用文字进行原理说明会相对冗余。
PE文件静态分析工具源码
06-29
一个PE文件静态分析工具(附带源码) 自己在学习PE文件格式中写的分析工具,附带源程序。采用VC2003编译。对PE文件各个部分都有说明,希望对大家有用。
Manalyze:用于PE可执行文件静态分析
02-24
法力分析 介绍 当我的防病毒软件第30次尝试隔离我的恶意软件样本集合时,我对Manalyze的工作就开始了。 这也源于我对AV产品越来越沮丧,他们在做出决定时根本没有解释为什么它们认为文件是恶意的。 显然,大多数人最好让杀毒软件来决定最适合他们的。 但是在我看来,专家用户(例如,恶意软件分析师)可以使用一种工具来分析PE可执行文件,并提供尽可能多的数据,并由他们最终决定。 如果您想查看该工具生成的一些示例报告,请随时尝试为它创建的Web服务: 。 目录 PE文件静态分析器 Manalyze是用Windows和Linux的C ++编写的,并根据的条款发行。 它是用于PE文件的强大解析器,具有灵活的插件体系结构,允许用户深度静态分析文件。 a ... 标识PE的编译器 检测打包的可执行文件 应用ClamAV签名 搜索可疑字符串 查找恶意导入组合(即WriteProcessMemory
PE文件静态注入
蚁景网安学院
02-08 1318
点击"蓝字"关注,获取更多技术内容DLL注入指的是向运行中的其他进程强制插入特定的DLL文件。可以通过修改静态PE文件,修改输入表结构,使得程序执行时载入特定的DLL文件。通常可执行文件...
加密与解密 调试篇 静态分析技术 (一)文件类型/窗口/定位
m0_64180167的博客
06-19 380
逆向分析的第一步就是文件类型分析文件使用什么写的 使用什么编译器编译的是否被加密过然后才能进入下一步有很多工具可以进行分析我选择exeinfo来查看但是并不是工具就可以直接分析完成因为有些会存在欺骗把入口代码改造成和Visual C++ 6.0类似的代码就可以对该类软件进行欺骗。
精选资源
通过分析PE文件查找dll依赖库,并将dll分类,copy到PE目录,方便部署
02-11
- 通过分析PE文件所有的依赖库(同depend工具) - 按照windows默认的dll加载顺序查找dll路径 - 比对dll库类型,分为 ~~~ 'ignor' : 可忽略的,默认都是system32目录;但有些开发库安装时也会默认安装到system32路径...
深入PE格式的静态分析工具及其源码解析
标题:“PE文件静态分析工具源码”所指的知识点非常丰富,下面将对其一一进行详细解读。 ### PE文件格式基础 PE文件格式是Windows操作系统中,可执行文件(Executable)以及对象文件的通用格式。PE是Portable ...
chapter1 静态分析技术-08PE文件分析 PEview
weixin_43925963的博客
11-22 1300
PEVIEW查看PE文件
PE文件(六)静态与动态链接库
2301_78838647的博客
07-08 1435
本章内容为导入表和导出表的前置内容。
第1章 静态分析基础技术
好好学习,天天向上
12-22 293
书中的例子 https://practicalmalwareanalysis.com/ https://github.com/mikesiko/PracticalMalwareAnalysis-Labs fakenet模拟网络的工具 https://sourceforge.net/projects/fakenet/ 1 使用反病毒引擎扫描 VirusTotal https://www.vir...
静态分析技术
qq_36308972的博客
06-11 3810
程序静态分析是一种在不执行程序的情况下对程序行为进行分析的理论、技术,简称为静态分析。 程序动态分析则是另一种程序分析策略,它需要实际执行程序。 静态分析这一术语一般用来形容邹东华工具的分析,而人工分析则往往叫做程序理解。 所谓静态分析,就是从反汇编出来的程序清单上分析程序流程,了解模块完成的功能。 形式化方法 程序分析中的形式化方法一般指利用纯粹严格的数学方法对软件、硬件进行分析的理论及技术...
PEDUMP:深入解析PE文件结构的开源工具
weixin_42309599的博客
09-28 2012
本文还有配套的精品资源,点击获取 简介:PEDUMP是一款能够解析Windows PE文件格式的开源工具,适用于软件开发者、逆向工程师和安全研究人员。它提取并展示PE文件的头标信息、节区详情、导出/导入函数、资源、符号表、重定位信息和安全特性。工具支持命令行操作和报告生成,源代码开放,便于定制和集成,广泛用于软件调试、逆向工程和安全分析。 1. PE文件解读源程序...
PE文件格式详解(3)
马说@优快云
12-26 2756
PE可选头部  PE可执行文件中接下来的224个字节组成了PE可选头部。虽然它的名字是“可选头部”,但是请确信:这个头部并非“可选”,而是“必需”的。OPTHDROFFSET宏可以获得指向可选头部的指针:PEFILE.H#define OPTHDROFFSET(a) ((LPVOID)((BYTE *)a + /                        ((PIMAGE_DOS_HEAD
恶意代码分析实战 1 静态分析基础技术
农夫果园好好喝的博客
01-24 1905
对Lab01-01.exe和Lab01-01.dll进行分析首先查看Lab-01-01.exe。然后查看Lab01-01.dll。这两个文件应该都是恶意文件。查看PE文件的结构:通过PE Tools查看文件头:Lab-01-01.exe 编译时间是2010年12月19日 16:16:19.Lab-01-01.dll 编译时间是2010年12月19日 16:16:38.这两个文件编译的时间非常接近,极有可能就是同时编译的。两个文件都没有加壳迹象。
PE文件分析与处理工具套装:pescan3.31cn PEID Exeinfope petools
最新发布
weixin_29092787的博客
05-19 1897
在当今的IT安全领域,对PE(Portable Executable)文件进行分析是不可或缺的一部分。恶意软件、病毒、以及各种形式的网络威胁,往往隐藏在看似普通的PE文件中。为了抵御这些攻击并确保系统安全,开发了一套专业的PE文件分析工具套装。这套工具集旨在帮助安全研究人员、逆向工程师以及安全爱好者,以高效且系统的方式,深入解析PE文件的结构与行为。
快速查询PE文件知识点和PE文件解析
m0_58089591的博客
05-04 1099
快速查询PE文件知识点和PE文件解析
20145233计算机病毒实践2之静态分析
weixin_30835923的博客
06-07 264
20145233计算机病毒实践2之静态分析 Lab01-01静态分析 PEiD 可以看出来第一程序没有使用任何加壳工具,直接使用C语言编程的 info可以查看仔细的分析,upx应该是压缩壳病毒 PE Explorer 这个静态可以发现程序什么时候编好的,并且可以看到几个基地址 PEview PEview查看32位可移植可执行(PE)和组件对象文件格式(COFF)文件的结构...
静态分析基础技术
Hvnt3r的博客
03-06 881
静态分析基础技术 原文链接:https://hvnt3r.top/2019/01/静态分析基础技术/ 知识点 我觉得安全圈的思路都是差不多的,跟渗透测试一样,对一个恶意软件的分析也需要前期的信息收集阶段来帮助我们对目标有一个大致的了解和认识,方便确定下一步工作的方向。 **Virus Total:**首先,拿到一个恶意软件如果不涉密的话可以直接上传到VT上看一下,这样差不多能确定此恶意软件的最早爆...
恶意代码分析实战:静态分析技术
「鸿渐之翼」的博客
08-14 859
恶意代码分析实战专辑 博主:鴻漸之翼 个人介绍:男,搞底層的FW,喜歡發一點沒用的東西。 项目gitee地址: https://gitee.com/hongsofwing/PracticalMalwareAnalysis-Labs 访问我的Gitee 问题 1.使用http://www.VirusTotal.com分析并且查看报告。文件是否匹配到已有的反病毒软件特征? 2.文件编译时间 3.文件是否加壳 4.导入函数显示出了恶意代码是做什么的?有哪些导入函数? 5.是否有其他基于主机的文件迹象? 6.是否有
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值