防病毒系列
22年很想学习的恶意代码分析,今天又翻到了这本书,还是被书中的第一个故事所吸引…
一个公司反复被黑客攻击后,作为安全工程师的你只能告诉老板说要聘请外部安全专家来解决这个问题,这很难保住饭碗,如果有足够的智慧可以马上学习《恶意代码分析实战》,让你可以轻松应对领导的疑问。
文章目录
前言
前面有跟大家介绍整体的恶意软件分类以及防病毒简单的技术原理,从第四辑开始,我们开始涉及操作以及具体分析。
大部分时候我们如何判断一个文件是否安全,下载后用多款防病毒软件反复定向扫描,看是否是已知的恶意软件
一、静态分析技术之哈希值
MD5算法是恶意代码分析最常用的一种哈希函数,SHA-1也比较流行。MD5很多时候产品/工具搭建都会使用到该技术或产品,用于计算是否为原文件。
这里可以直接用Windows本身自带的工具来进行计算文件的MD5值,例如打开PowerShell窗口
Get-FileHash 文件路径 -Algorithm MD5
结果
也可以使用CertUtil命令,CertUtil是Windows自带的一个证书使用工具,也可以用于计算文件的哈希值,直接打开CMD执行即可:
CertUtil -hashfile 文件路径 MD5
结果
哈希值一般被称为特征值/指纹等,以前经常会提及特征值的概念,这部分累积越多显得恶意代码特征识别的更精准,产品越厉害。
当前现在我们如果拿到一个未知文件的MD5值除了使用防病毒软件来进行扫描还可以怎么做,可以在出名的防病毒检测机构进行MD5值搜索,看是否有这个恶意指纹。
例如:
目前MD5算法和SHA-1在04年就被国内的教授大牛破解,两个不同的文件可能得出一样的哈希值,这种在防病毒领域可能出现很大的问题,例如部分厂商给出的白名单机制,只要有类似的白名单就可以钻这个空子,当然目前流行的白利用并不是此种技术路线
二、静态分析技术之字符串
查找字符串技术,可以使用该技术来识别已知的病毒特征,这些特征可能是一个特定的文本、代码片段、数字签名等;也可以用于恶意网址检测分析。
三、静态分析技术之文件加壳
为什么需要了解加壳,因为恶意代码经常使用加壳技术,让防守方难以检测、分析,加壳完后,使用Strings搜索一个程序就会发现字符串内容很少
这里用到的PEiD工具(普遍用于检测软件是否加壳),下面就是检测软件是否加壳的操作方法,选择文件后无法检测出结果。
在上面的基础上点击双问号,然后再点击右边的横杠,看该软件是否加壳。
如果检测出了加壳,可以使用UPX进行脱壳,这里失败…
总结
以上使用的工具及链接谨慎下载,未经过安全审查,就不放出来了
以上就是今天要写的内容,明天继续。
标签:文件,静态,恶意代码,第四辑,加壳,防病毒,哈希,MD5 From: https://blog.csdn.net/qq_41052621/article/details/137477010