首页 > 其他分享 >恶意代码之静态分析【第四辑】

恶意代码之静态分析【第四辑】

时间:2024-04-07 22:32:08浏览次数:24  
标签:文件 静态 恶意代码 第四辑 加壳 防病毒 哈希 MD5

防病毒系列

22年很想学习的恶意代码分析,今天又翻到了这本书,还是被书中的第一个故事所吸引…


一个公司反复被黑客攻击后,作为安全工程师的你只能告诉老板说要聘请外部安全专家来解决这个问题,这很难保住饭碗,如果有足够的智慧可以马上学习《恶意代码分析实战》,让你可以轻松应对领导的疑问。

文章目录


前言

前面有跟大家介绍整体的恶意软件分类以及防病毒简单的技术原理,从第四辑开始,我们开始涉及操作以及具体分析。

大部分时候我们如何判断一个文件是否安全,下载后用多款防病毒软件反复定向扫描,看是否是已知的恶意软件


一、静态分析技术之哈希值

MD5算法是恶意代码分析最常用的一种哈希函数,SHA-1也比较流行。MD5很多时候产品/工具搭建都会使用到该技术或产品,用于计算是否为原文件。
这里可以直接用Windows本身自带的工具来进行计算文件的MD5值,例如打开PowerShell窗口

Get-FileHash 文件路径 -Algorithm MD5

结果
在这里插入图片描述

也可以使用CertUtil命令,CertUtil是Windows自带的一个证书使用工具,也可以用于计算文件的哈希值,直接打开CMD执行即可:

CertUtil -hashfile 文件路径 MD5

结果
Windows自带MD5计算工具Certutil

哈希值一般被称为特征值/指纹等,以前经常会提及特征值的概念,这部分累积越多显得恶意代码特征识别的更精准,产品越厉害。
当前现在我们如果拿到一个未知文件的MD5值除了使用防病毒软件来进行扫描还可以怎么做,可以在出名的防病毒检测机构进行MD5值搜索,看是否有这个恶意指纹。
例如:
在这里插入图片描述

目前MD5算法和SHA-1在04年就被国内的教授大牛破解,两个不同的文件可能得出一样的哈希值,这种在防病毒领域可能出现很大的问题,例如部分厂商给出的白名单机制,只要有类似的白名单就可以钻这个空子,当然目前流行的白利用并不是此种技术路线

二、静态分析技术之字符串

查找字符串技术,可以使用该技术来识别已知的病毒特征,这些特征可能是一个特定的文本、代码片段、数字签名等;也可以用于恶意网址检测分析。

在这里插入图片描述

三、静态分析技术之文件加壳

为什么需要了解加壳,因为恶意代码经常使用加壳技术,让防守方难以检测、分析,加壳完后,使用Strings搜索一个程序就会发现字符串内容很少

这里用到的PEiD工具(普遍用于检测软件是否加壳),下面就是检测软件是否加壳的操作方法,选择文件后无法检测出结果。
在这里插入图片描述

在上面的基础上点击双问号,然后再点击右边的横杠,看该软件是否加壳。
在这里插入图片描述

如果检测出了加壳,可以使用UPX进行脱壳,这里失败…
在这里插入图片描述


总结

以上使用的工具及链接谨慎下载,未经过安全审查,就不放出来了

以上就是今天要写的内容,明天继续。

标签:文件,静态,恶意代码,第四辑,加壳,防病毒,哈希,MD5
From: https://blog.csdn.net/qq_41052621/article/details/137477010

相关文章

  • gcc bin 文件转化为静态库文件
    D:\workplace\project\driver_prj\driver_prj_mag\bin\Release\driver_mag_prj.elfD:\workplace\project\driver_prj\driver_prj_mag\bin\Release\driver_mag_prj.binC:\ProgramFiles(x86)\EmBitz\1.11\share\em_armgcc\arm-none-eabi\bin\objcopy.e......
  • mac 添加静态路由
    在macOS上,您可以使用`route`命令来添加一次性的静态路由。以下是配置一次性静态路由的一般步骤:1.**确定目标网络和下一跳地址:**首先,确定您要添加的静态路由的目标网络和下一跳地址。2.**使用routeadd命令添加静态路由:**打开终端,执行以下命令:```sudoroute-na......
  • C++:类的静态成员
    无关类的实例化对象,是类自身的参数,所有同一类下的所有对象公用的成员使用如下classMyClass{public:staticintsta;//定义静态成员inta;charb;public:MyClass();~MyClass();//intoperator>=(MyClassA)//{//return......
  • 静态住宅IP代理:提升跨境电商海外收款系统的稳定性
    跨境电商正是当下电子商务的热门领域,充斥着发展机遇。然而,跨境电商面临着收款系统不稳定的问题,这直接影响到了商家的资金流动和运营效率。而高匿住宅静态IP的运用可以有效提升跨境电商海外收款系统的稳定性,让我们一起来看看其中的原因和优势。1.提升收款通道的可靠性跨境电......
  • 免杀-静态绕过总结
    2.静态绕过2x0远程分段加载shellcode我最经常使用的一种静态绕过的方法效果:能过火绒360动静态,但是一些添加用户的命令依然会拦截加上隐藏窗口360免不了,火绒还是可以#include<winsock2.h>#include<ws2tcpip.h>#include<Windows.h>#include<stdio.h>#pragmacomme......
  • OSPF中配置静态路由负载分担实验简述
    OSPF中配置静态路由负载分担实验简述在静态路由负载分担中,多个路由器被配置为共享负载的目标,以实现流量的均衡分配。到达目的地有N条相同度量值的路径,默认值60,N条路由是等价路由,数据报文在N条链路上轮流发送。静态路由负载分担的优点是简单易用,不需要额外的负载均衡设备......
  • 阿里云服务器 篇二:搭建静态网站
    文章目录系列文章获取静态网站模板应用静态网站模板解压zip文件SCP命令上传文件其他上传文件的方法系列文章阿里云服务器篇一:申请和初始化阿里云服务器篇二:搭建静态网站获取静态网站模板站长素材:网站中包括大量的免费模板,可任意下载。模板之家:国内外优质网站......
  • 练手项目层初阶1—《详解静态版本——通讯录管理系统》
    文章目录......
  • 使用PowerMock来mock静态方法
    使用引入依赖<dependency><groupId>org.powermock</groupId><artifactId>powermock-api-mockito2</artifactId><version>2.0.9</version></dependency><dependency><groupId>org.powermock<......
  • 使用Mockito来mock静态方法和接口的default方法
    使用引入依赖<dependency><groupId>org.mockito</groupId><artifactId>mockito-core</artifactId><version>3.8.0</version></dependency>代码实现importorg.mockito.MockedStatic;importorg.mockito.Mockito;......