20145233计算机病毒实践2之静态分析

最新推荐文章于 2025-08-22 12:09:46 发布
最新推荐文章于 2025-08-22 12:09:46 发布
阅读量247 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: c/c++
原文链接:http://www.cnblogs.com/hanhaochen/p/6958793.html
本文介绍了多种用于静态分析的工具,包括PEiD、PEExplorer、PEview、PEBrowsePro及DependencyWalker等。通过这些工具可以深入理解PE文件结构、查看程序编译信息、分析依赖关系及函数调用情况。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

20145233计算机病毒实践2之静态分析

Lab01-01静态分析

PEiD

  • 可以看出来第一程序没有使用任何加壳工具,直接使用C语言编程的
    887941-20170607194820106-94882288.png

  • info可以查看仔细的分析,upx应该是压缩壳病毒
    887941-20170607194827325-69551606.png

PE Explorer

  • 这个静态可以发现程序什么时候编好的,并且可以看到几个基地址
    887941-20170607194926637-2144420552.png

PEview

  • PEview查看32位可移植可执行(PE)和组件对象文件格式(COFF)文件的结构和内容,提供了一种快速简便的方法。这家PE / COFF文件查看器显示标题,章节,目录,导入表,导出表,内部信息和资源的EXE,DLL,OBJ,LIB,DBG,和其他文件类型。
  • 可以看到对于程序的二进制数据
    887941-20170607194938231-467969075.png

PEBrowsePro

  • 可以打开dll看到两种不同的头
    887941-20170607194949575-830156766.png

  • 887941-20170607194958778-1627239480.png

  • 还有data段和text段
    887941-20170607195011981-1993975744.png

  • 887941-20170607195020434-249540488.png

Dependency Walker

  • Dependency Walker是一款Microsoft Visual C++ 中提供的非常有用的PE模块依赖性分析工具

  • 主要功能如下:查看 PE 模块的导入模块.查看 PE 模块的导入和导出函数.动态剖析 PE 模块的模块依赖性.解析 C++ 函数名称
    887941-20170607195047997-847815590.png

  • 利用这个工具可以查到调用的函数
    887941-20170607195038559-1579342634.png

转载于:https://www.cnblogs.com/hanhaochen/p/6958793.html

病毒分析系列2 | 使用PE工具进行初步静态分析
SpaceSec的博客
11-02 6247
接上篇。进行病毒分析时,在进行具体的病毒行为分析前,需要或许可疑文件的基本信息,此时可以使用pe工具进行分析和获取在该文章中所涉及的知识主要是pe文件格式的相关知识,使用文字进行原理说明会相对冗余。
静态分析基础技术
Hvnt3r的博客
03-06 857
静态分析基础技术 原文链接:https://hvnt3r.top/2019/01/静态分析基础技术/ 知识点 我觉得安全圈的思路都是差不多的,跟渗透测试一样,对一个恶意软件的分析也需要前期的信息收集阶段来帮助我们对目标有一个大致的了解和认识,方便确定下一步工作的方向。 **Virus Total:**首先,拿到一个恶意软件如果不涉密的话可以直接上传到VT上看一下,这样差不多能确定此恶意软件的最早爆...
计算机病毒实践汇总一:简单静态分析(分析程序)
weixin_30814223的博客
04-02 773
在尝试学习分析的过程中,判断结论不一定准确,只是一些我自己的思考和探索。敬请批评指正! 总结部分:计算机病毒实践总结一:简单静态分析 1. 实践一:Lab01_011)将样例代码上传到http://www.virustotal.com进行分析并查看报告,从报告可以看出什么信息? 一直无法正常打开这个网站。 经过查找,这个网站是用作“病毒引擎检测、可疑文件分析服务”的,于是我就查找有没有...
计算机病毒实践总结一:简单静态分析
weixin_30484247的博客
04-02 398
本文是基于计算机病毒课程实践部分的总结,这些实践是自主尝试学习分析恶意代码的过程,如有疏漏不妥之处,还请不吝赐教! 我的相关博客 实践部分:计算机病毒实践汇总一:简单静态分析(分析程序) 读书部分:《恶意代码分析实战》读书笔记 入门与基础 恶意代码简单静态分析实践总结 1. 目标 静态分析技术是研究恶意代码的第一步,通过各种工具尽可能多的搜集其信息并找到进一步分析的思路。 确认程序恶意性 判...
计算机病毒静态分析1
weixin_30628801的博客
04-12 349
Lab01-01.dll 首先上传至virscan.org进行在线检测 行为分析: 可看出程序运行后进行回连,至ip127.26.153.13,端口为80,为http服务端口。 使用peid进行查壳 可见其未加壳,编译软件是VC6.0 使用strings工具进行字符串收集 使用PEview查看其代码 这个软件可以看到十六进制代码和一些使用strings可捕捉到的字符串,...
恶意代码分析实战 1 静态分析基础技术
农夫果园好好喝的博客
01-24 1850
Lab01-01.exeLab01-01.dll进行分析首先查看Lab-01-01.exe。然后查看Lab01-01.dll。这两个文件应该都是恶意文件。查看PE文件的结构:通过PE Tools查看文件头:Lab-01-01.exe 编译时间是2010年1219日 16:16:19.Lab-01-01.dll 编译时间是2010年1219日 16:16:38.这两个文件编译的时间非常接近,极有可能就是同时编译的。两个文件都没有加壳迹象。
chapter1 静态分析技术-08PE文件分析 PEview
weixin_43925963的博客
11-22 1004
PEVIEW查看PE文件
20145233计算机病毒实践3之静态分析3
weixin_30257433的博客
06-12 157
20145233计算机病毒实践3之静态分析3 Lab01-02静态分析 Virscan 使用网页杀毒工具分析,是在网络攻防课上学到的一种静态分析手段 再次点击旁边的文件行为分析,可以看出这个程序模逆的功能 PEiD 可以看出来已经被加壳了 看不到是什么加壳的,info后可以看到使用的UPX加壳 PEview PEview查看32位可移植可执行(PE)和组件对象文件格式(...
计算机病毒Volume1与Volume2
01-23
这两部教材全面地涵盖了计算机病毒的各个方面,从基础理论到实践应对,对于理解这个复杂且不断演变的威胁至关重要。通过深入学习,读者不仅可以增强自身的网络安全意识,还能掌握保护自己和他人免受病毒侵害的技能。
深入探究计算机病毒:从好奇到成为病毒分析专家
《走进计算机病毒》这本书详细地介绍了计算机病毒的相关知识,对于那些渴望深入了解并掌握计算机病毒运行机制和防御策略的读者来说,是一本宝贵的资料。计算机病毒作为一种恶意软件,其设计目的是干扰、损坏或非法...
计算机病毒分析与防范:VBS脚本病毒深度探讨
"这篇资源是一份关于计算机病毒分析与实践的本科毕业论文,包含了源码,作者为黄创奇,指导教师为李锋,专业是信息与计算科学(信息安全方向)。论文深入探讨了计算机病毒的概念、分类、特点、运行机制,并以...
Pe文件静态分析
LoopherBear的博客
05-02 1770
Pe文件静态分析能够获取到哪些信息 在分析一个样本之前,通常会需要静态分析,如何从PE文件格式中获取到需要的信息就很重要。只有在静态分析时对文件的一些布局信息有了理解,例如是是否被加壳了(虽然可以用查壳工具,但是还是需要知道一些原理),文件时图形化界面(GUI)还是命令执行程序(CUI)等信息的提取和掌握,分析时才会更清晰要做什么,做到心中有数。下面是在阅读《恶意软件分析实战》第一章中的一些整理笔...
C++11中的互斥锁,条件变量,生产者-消费者示例
cyz322649的博客
08-20 1036
本文介绍了C++11中的互斥锁和条件变量机制。主要内容包括:1. 互斥锁的RAII封装类(lock_guard和unique_lock)及其自动管理功能,避免手动加解锁带来的死锁风险。2. 条件变量的作用原理,重点讲解了wait()函数的两种形式及其防虚假唤醒机制。3. 生产者-消费者模型的完整实现示例,展示了互斥锁与条件变量的协同工作流程。4. 详细分析了线程执行过程中获取锁、检查条件、等待通知和业务处理的时序关系。这些机制共同构成了C++多线程编程中安全高效的同步解决方案。
Qt5 图形与动画详细讲解
black book发布
08-20 1080
本文介绍了Qt5图形系统的核心概念和框架。首先讲解了基础绘图机制,包括QPaintDevice和QPainter的配合使用,以及坐标系系统和双缓冲技术。接着重点介绍了Graphics View框架,由QGraphicsScene、QGraphicsItem和QGraphicsView三部分组成,适合管理大量可交互图形项。最后阐述了Qt动画框架,特别是QPropertyAnimation的使用方法,以及在Graphics View中实现动画的两种方式。全文通过代码示例展示了如何在Qt中实现图形绘制、场景管理和
【冒泡排序】
由己
08-19 898
冒泡排序
C++ 运算符:从基础到高阶的完整指南
最新发布
正在在摸鱼的博客
08-22 279
运算符重载是C++支持多态性的核心特性之一,允许程序员为自定义类型赋予运算符的语义化操作能力。其本质是通过函数重载机制实现的,编译器会根据操作数类型选择最匹配的运算符函数。+=
C++ STL -4 | vector
电子异术博物馆
08-22 513
介绍C++中std::vector的使用技巧与底层机制。重点包括:1)vector的动态数组特性与基本操作;2)容量管理(size/capacity区别、预分配优化);3)底层实现(连续存储、扩容机制);4)特殊用法(swap回收内存、emplace高效构造);5)vector<bool>的特化实现与陷阱;6)开发注意事项(迭代器失效、性能优化等)。适合有一定基础的开发者掌握vector的进阶特性,提升使用效率与规避常见错误。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值