病毒分析系列2 | 使用PE工具进行初步静态分析

已于 2022-11-02 22:02:51 修改
阅读量6.1k 收藏 7
点赞数 2
分类专栏: 病毒分析系列 文章标签: windows 测试工具 网络安全
于 2022-11-02 21:56:58 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/SpaceSec/article/details/127659857
版权

前言

接上篇。进行病毒分析时,在进行具体的病毒行为分析前,需要或许可疑文件的基本信息,此时可以使用pe工具进行分析和获取

基本静态信息获取

一般需要获取的信息包括但不限于:

  1. 程序哈希值
  2. 导入函数表
  3. 导出函数表
  4. 是否有壳
  5. 程序的位数
  6. 字符串

具体步骤

使用exeinfope获取相关信息

  1. 讲文件拖入到exeinfope.exe中,可获取该文件的PE信息,示例如下:

如图中标记,可以知道:

  1. 该程序是个32的可执行程序
  2. 通过节区信息可以判断是否加壳,该程序没加壳,现实的是正常的.text节区

如下图:可以看到加了upx壳

  1. 点击图中的PE,可以进一步获取导入表等相关信息

![](https://img-blog.csdnimg.cn/img_convert/100e0e68bb155ca89217f61ee3385bcc.jpeg)
  1. 导入表、导出表信息可以帮助我们获取到程序所用到的功能函数,在恶意代码
最低0.47元/天 解锁文章
[网络安全自学篇] 六十二.PE文件逆向之PE文件解析、PE编辑工具使用PE结构修改(三)
杨秀璋的专栏
03-25 1万+
系列虽然叫“网络安全自学篇”,但由于系统安全、软件安全与网络安全息息相关,作者同样会分享一些系统安全案例及基础工具用法,也是记录自己的成长史,希望大家喜欢,一起进步。前文分享了数字签名,采用Signtool工具对EXE文件进行签名,接着利用Asn1View、PEVie、010Editor等工具进行数据提取和分析。本文将详细介绍PE文件格式,熟悉各种PE编辑查看工具,针对目标EXE程序新增对话框等,这也为后续PE病毒和恶意代码的攻防打下扎实基础。希望这篇基础文章对您有所帮助~
号称病毒之王的“熊猫烧香”详细分析
热门推荐
Test网络安全
09-12 1万+
01-样本概况 1.1-样本信息 基本信息 文件: C:\Users\15pb-win7\Desktop\xiongmao.exe 大小: 30001 bytes 修改时间: 2018年7月14日, 8:40:21 MD5: 512301C535C88255C9A252FDF70B7A03 SHA1: CA3A1070CFF311C0BA40AB60A8FE3266CFEFE870 CRC32: E334747C 病毒行为: 1.在系统目录下生成病毒程序
exeinfo pe使用(基本)
ftxyz23的博客
09-20 1万+
在该文章中所涉及的知识主要是pe文件格式的相关知识,使用文字进行原理说明会相对冗余。使用工具进行初步静态分析实践起来,后续可以对照PE格式进行分析
Pe文件静态分析
LoopherBear的博客
05-02 1727
Pe文件静态分析能够获取到哪些信息 在分析一个样本之前,通常会需要静态分析,如何从PE文件格式中获取到需要的信息就很重要。只有在静态分析时对文件的一些布局信息有了理解,例如是是否被加壳了(虽然可以用查壳工具,但是还是需要知道一些原理),文件时图形化界面(GUI)还是命令执行程序(CUI)等信息的提取和掌握,分析时才会更清晰要做什么,做到心中有数。下面是在阅读《恶意软件分析实战》第一章中的一些整理笔...
ExeinfoPE下载和使用教程
最新发布
2401_87505370的博客
04-19 726
ExeinfoPE下载和使用教程
计算机病毒静态分析1
weixin_30628801的博客
04-12 338
Lab01-01.dll 首先上传至virscan.org进行在线检测 行为分析: 可看出程序运行后进行回连,至ip127.26.153.13,端口为80,为http服务端口。 使用peid进行查壳 可见其未加壳,编译软件是VC6.0 使用strings工具进行字符串收集 使用PEview查看其代码 这个软件可以看到十六进制代码和一些使用strings可捕捉到的字符串,...
20145326蔡馨熤《计算机病毒》——静态分析(3)
weixin_30535167的博客
04-09 181
20145326蔡馨熤《计算机病毒》——静态分析(3) 基于样例代码lab01-03.exe与lab01-04.exe 相比于VirusTotal,我更喜欢用VirScan,因为前者太慢了。我们可以从报告中获得一些常用的杀毒软件病毒库对于这个文件的比对结果,从而判断是否是病毒文件。 lab01-03.exe的扫描报告如下,点击"行为分析"看看。 lab01-04.exe...
计算机病毒实践汇总一:简单静态分析(分析程序)
weixin_30814223的博客
04-02 756
在尝试学习分析的过程中,判断结论不一定准确,只是一些我自己的思考和探索。敬请批评指正! 总结部分:计算机病毒实践总结一:简单静态分析 1. 实践一:Lab01_01 (1)将样例代码上传到http://www.virustotal.com进行分析并查看报告,从报告可以看出什么信息? 一直无法正常打开这个网站。 经过查找,这个网站是用作“病毒引擎检测、可疑文件分析服务”的,于是我就查找有没有...
PE文件静态注入
蚁景网安学院
02-08 1192
点击"蓝字"关注,获取更多技术内容DLL注入指的是向运行中的其他进程强制插入特定的DLL文件。可以通过修改静态的PE文件,修改输入表结构,使得程序执行时载入特定的DLL文件。通常可执行文件...
病毒分析教程第一话--静态特征分析
安全杂货铺
06-21 4773
Lab 1 教程参考自《恶意代码分析实战》 程序来自:http://www.nostarch.com/malware.htm Lab 1-1 这个实验使用Lab01-01.exe和Lab01-01.dll文件,使用文章描述的工具和技术来获取关于这些文件的信息。 问题1 将文件上传至http://www.virustotal.com进行分析并查看报告。文件匹配到了已有的反病毒软件...
一次恶意软件安静态分析.pdf
09-19
使用Dependency工具对Lab01-01.dll进行分析,结果显示该文件调用了Kernel32.dll文件中的多个函数,包括CreateProcessA和Sleep函数,并调用了WS2_32.dll文件中的send函数,初步判断是需要往外发处数据。同时,该文件...
PE文件静态分析工具源码
06-29
一个PE文件静态分析工具(附带源码) 自己在学习PE文件格式中写的分析工具,附带源程序。采用VC2003编译。对PE文件各个部分都有说明,希望对大家有用。
pe-bear-releases:PE-bear(仅内置)
05-22
PE轴承释放 PE-bear是用于PE文件的免费软件反向工具。 其目标是为恶意软件分析人员提供快速,灵活的“第一视图”,并稳定且能够处理格式错误的PE文件。 警告: PE-bear不是开源的-您只能在此处找到内部版本。 但是,PE-bear的PE解析器是开源的,可以在这里找到: PE-bear的签名:
exeinfope查壳
10-11
哈哈 很好用的查壳工具。可以知道文件是经过什么软件加壳的,好解压出来。。。
ExeinfoPe查壳工具
12-29
查壳工具ExeinfoPe是一款查壳工具,会OD逆向破解友友们的喜爱,你可以使用任何可执行文件的各种信息视图,本产品是便携式的,所以安装是不必要的。这意味着,您的Windows注册表项将保持不变,但你也可以将工具上的移动设备,在任何计算机上运行它。
ExeInfoPE查壳工具
08-06
非常实用的软件查壳工具,软件短小精悍,功能非常强大
静态分析恶意代码(基础篇)
weixin_48421613的博客
12-29 2323
静态分析恶意文件(基础篇) 提示:这里可以添加系列文章的所有文章的目录,目录需要自己手动添加 例如:第一章 Python 机器学习入门之pandas的使用 提示:写完文章后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录静态分析恶意文件(基础篇)前言一、恶意代码种类及特征二、分析步骤1.反病毒引擎扫描2.使用PEiD查壳3.使用upx.exe脱壳4.使用Dependency Walker探索动态连接函数总结 前言 有很多时候服务器被人家入侵了,在日志痕迹影子账户都被抹除的情况
病毒分析基础
hanyang291的专栏
05-24 2035
第 1 章病毒分析病毒分析是将病毒行为还原的过程,在此过程中病毒的行为流程将被分解,病毒的每一步操作都有可能影响正常的操作系统配置或文件。病毒分析的基础是依托于逆向工程的基础,所以在做病毒分析工作之前好好学习下逆向工程知识。 如果在实体机里分析病毒的话,会影响到实体机的日常使用,所以我们需要建立虚拟的环境来分析病毒。 1.1 建立病毒分析环境用虚拟环境来分析恶意程序早在2000年就已经开始采
恶意代码分析实战——静态分析基础技术
A1_3_9_7的博客
12-25 1551
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值