病毒分析教程第一话--静态特征分析

最新推荐文章于 2025-06-03 17:34:01 发布
原创 最新推荐文章于 2025-06-03 17:34:01 发布 · 4.8k 阅读 · 11 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#病毒分析

本文是病毒分析教程的第一部分,重点介绍静态特征分析,包括VT检测、编译时间、加壳信息、导入函数和可疑字符串的分析。通过实验样本,展示了如何识别和解析这些特征,以初步判断病毒的性质和潜在威胁。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

静态特征分析

教程参考自《恶意代码分析实战》
程序来自:http://www.nostarch.com/malware.htm

静态特征分析可以说是分析一个病毒的前奏,属于比较简单的分析。分析环节包括:VT检测、编译时间、加壳信息、导入函数、可疑字符串,等等。

Lab 1-1

本节实验使用到两个样本Lab01-01.dll和Lab01-01.exe。
Lab01-01

VT检测

Lab01-01.dll
Lab01-01.dll检出率不算高,仅有31个杀软对它报毒,其中基本是归类到木马(Trojan)。

Lab01-01.exe
Lab01-01.exe被37个杀软报毒,同样的,也基本是归类到木马类。

编译时间

Time date stamp

Time date stamp

很多种PE工具都可以检测出文件的编译时间,其原理也很简单,就是找到Image File Header中的Time Date Stamp字段并将其转换一下。

可能大家有个更简单的方法,就是直接右键属性,查看修改时间。但请看下图,显示的时间是错误的,所以为了保险起见,还是使用上述的方法。
Property

这里大家可能有个疑问,若病毒编译好后作者将此字段修改了,那么岂不是显示出来的时间是错误的?是的,很多病毒作者确实使用这种方法来增强隐蔽

最低0.47元/天 解锁文章

200万优质内容无限畅学
病毒分析教程第四--高级静态逆向分析(上)
安全杂货铺
08-07 1582
静态逆向分析1(上) 教程参考自《恶意代码分析实战》 程序来自:http://www.nostarch.com/malware.htm PS:由于静态逆向分析过程冗杂,所以本使用问答的方式进行讲解。 Lab 7-1 本节实验使用样本Lab07-01.exe。 使用Exeinfo查壳,很幸运,没有加壳,是用VC6写的。 当计算机重启后,这个程序任何确保它继续运行(达到...
病毒分析教程第四--高级静态逆向分析(下)
安全杂货铺
08-15 1003
t
病毒分析——静态特征分析 及 动态行为分析
土豆的博客
06-30 3265
一、静态特征分析 1、上传漏洞平台检测(简单实用的方法,但是这也仅供一个参考,尽量还是要自己去分析): 常用检测平台:微步在线、VT等 可查看评论是否有安全专家分析结果,可查看可疑行为进行初步分析; 若有报FSG壳病毒:Packer.FSG.A,可能加了FSG壳,exeinfo可能查不到壳,DIE等可以查到。 2、编译时间: 有利于辨别一些系统文件(如svchost.exe等)是不是伪装。 还有另一种情景,当确定一个文件是恶意的,如Lab01-01.exe,若发现Lab01-01.dll的编译时间是相
恶意代码逆向分析,(非常详细)从零基础到精通,收藏这篇就够了!
最新发布
Libra1313的博客
06-03 1425
当然,在自我注入的情况下,更容易找到恶意的二进制文件/payload。代码注入是 Window 系统上支持的操作,当然,它是一种非常有用的规避方法,因为恶意软件能够将恶意代码注入(写入)进程本身(自我注入)或远程(远程注入)的内存区域(有些人使用术语“段”)中,并且此有效负载将在目标上下文上执行,无论它是否成为它的一部分,并且不会留下很多证据。**关键是:当线程被创建时,会触发进程回调,并检查磁盘上文件的内容(好的),所以安全防御认为一切都很好,因为磁盘上的镜像是无害的,但真正的恶意在内存中。
计算机病毒静态分析1
weixin_30628801的博客
04-12 349
Lab01-01.dll 首先上传至virscan.org进行在线检测 行为分析: 可看出程序运行后进行回连,至ip127.26.153.13,端口为80,为http服务端口。 使用peid进行查壳 可见其未加壳,编译软件是VC6.0 使用strings工具进行字符串收集 使用PEview查看其代码 这个软件可以看到十六进制代码和一些使用strings可捕捉到的字符串,...
计算机病毒实践总结一:简单静态分析
weixin_30484247的博客
04-02 398
本文是基于计算机病毒课程实践部分的总结,这些实践是自主尝试学习分析恶意代码的过程,如有疏漏不妥之处,还请不吝赐教! 我的相关博客 实践部分:计算机病毒实践汇总一:简单静态分析(分析程序) 读书部分:《恶意代码分析实战》读书笔记 入门与基础 恶意代码简单静态分析实践总结 1. 目标 静态分析技术是研究恶意代码的第一步,通过各种工具尽可能多的搜集其信息并找到进一步分析的思路。 确认程序恶意性 判...
病毒分析基础
hanyang291的专栏
05-24 2071
第 1 章病毒分析病毒分析是将病毒行为还原的过程,在此过程中病毒的行为流程将被分解,病毒的每一步操作都有可能影响正常的操作系统配置或文件。病毒分析的基础是依托于逆向工程的基础,所以在做病毒分析工作之前好好学习下逆向工程知识。 如果在实体机里分析病毒,会影响到实体机的日常使用,所以我们需要建立虚拟的环境来分析病毒。 1.1 建立病毒分析环境用虚拟环境来分析恶意程序早在2000年就已经开始采
病毒分析教程第三--静态逆向分析(上)
安全杂货铺
07-16 1624
静态逆向分析 教程参考自《恶意代码分析实战》 程序来自:http://www.nostarch.com/malware.htm 静态特征分析可以说是分析一个病毒的前奏,属于比较简单的分析分析环节包括:VT检测、编译时间、加壳信息、导入函数、可疑字符串,等等。 Lab 1-1 本节实验使用到两个样本Lab01-01.dll和Lab01-01.exe。 VT检测 L...
病毒分析教程第三--静态逆向分析(下)
安全杂货铺
07-17 1217
PSLIST导出函数做了什么? 我们先在导出函数表双击PSLIST,即可查看PSLIST的函数结构,主要功能集中在三个红框中的call,sub_100036C3决定了第一个跳转,先来看看这个函数在做什么判断。 我们直接F5反汇编sub_100036C3,函数很短,就是做了一个判断,判断主机操作系统是否Win2000以上的,若不是,则退出函数(感觉这判断好无聊。。)。 OK,只要用户不...
病毒分析教程第五--动态调试分析(中)
安全杂货铺
09-18 556
动态调试分析(中) 教程参考自《恶意代码分析实战》 程序来自:http://www.nostarch.com/malware.htm 使用静态逆向分析技术只能分析大多数简单的恶意软件,若恶意软件经过加密或动态地加载调用函数,则无法对其进行分析,这时候就需要用到动态调试分析技术。 PS:由于动态调试分析过程冗杂,所以本使用问答的方式进行讲解。 Lab 9-1 本节实验使用样...
病毒分析教程第六--高级病毒分析(中)
安全杂货铺
12-10 899
高级病毒分析(中) 教程参考自《恶意代码分析实战》 程序来自:http://www.nostarch.com/malware.htm Lab 11-2 本节实验使用样本Lab11-02.dll和Lab11-02.ini。 这个恶意DLL导出了什么? 使用rundll32.exe安装这个恶意代码后,发生了什么? 为了使这个恶意代码正确安装,Lab11-02.ini必须放置在何处? 这个安装的恶意...
病毒分析教程第六--高级病毒分析(下)
安全杂货铺
12-21 709
高级病毒分析(下) 教程参考自《恶意代码分析实战》 程序来自:http://www.nostarch.com/malware.htm Lab 11-3 本节实验使用样本Lab11-03.exe和Lab11-03.dll。 使用基础的静态分析过程,你可以发现什么有趣的线索? 在Lab11-03.exe包含跟“cisvc”相关的字符串,说明该程序应该会进行跟cisvc服务相关的操作,同时,该程序还...
病毒分析教程第六--高级病毒分析(上)
安全杂货铺
11-23 730
病毒分析教程第五–动态调试分析(下)
病毒样本分析学习一
weixin_45299049的博客
10-01 2088
简单的一次静态病毒样本分析
静态特性
哪里都是萌伦
07-07 1086
静态 使用关键字:static static关键字可以修饰成员变量,被static修饰的成员变量称之为静态成员变量 static关键字可以修饰成员函数,被static修饰的成员函数称之为静态成员函数 静态函数可以调用静态成员函数和静态成员变量 静态函数可以调用非静态成员函数和非静态成员变量 非静态函数可以调用静态的成员函数和静态成员变量 静态函数不能调用非静态成员函数和非静态成员变量 重点:被st...
病毒分析技术学习资料
洛丹伦
03-02 928
从以下地址下载最全面权威的吧。http://www.tml.hut.fi/Opinnot/T-110.6220/2008/T-110.6220_Windows_OS.pdf http://www.tml.hut.fi/Opinnot/T-110.6220/2008/Symbian_malware_and_spyware.pdf http://www.tml.hut.fi/Opinnot/T-1
病毒分析
a562449131的博客
08-30 2193
病毒分析第一讲,分析病毒注意事项,以及简单分析主要功能 一丶认识木马和病毒的区别 木马和病毒是两个不一样的,有人会把木马认为是病毒,但其实不是 说下区别 木马:   木马没有破坏性,木马主要功能是收集用户信息,控制机器等等. 病毒:   病毒一般带有破坏性的行为,比如格式化盘符,修改电脑的文件,传染.... 二丶分析病毒的前提准备 1.在分析病毒样本之前,首先要把...
如何快速分析病毒程序,从零基础到精通,收藏这篇就够了!
Python_0011的博客
02-09 838
到这里wireshark抓包可以暂停了,结合刚刚查看到的IP地址到wireshark数据包中比对查看,命令:ip.addr == IP地址,这里抓到的IP地址产生的数据包为SYN信息,所以无行为数据,主要是给大家提供一个方法和思路,在实际操作需要进一步通过wireshark查看其行为内容,获得更多数据信息。这也是耗费了大白近四个月的时间,吐血整理,文章非常非常长,觉得有用的,希望粉丝朋友帮忙点个**「分享」木马免杀问题与防御********必知必会。掌握Redis未授权访问漏洞。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值