Generated with sparks and insights from 56 sources

img10

img11

img12

img13

img14

img15

Introduction

  • 恶意软件分析的主要方法包括静态分析、动态分析和内存分析。

  • 静态分析不执行恶意软件,通过检查代码、字符串和PE头等信息来了解恶意软件的行为。

  • 动态分析在隔离环境中运行恶意软件,观察其行为和系统调用。

  • 内存分析通过分析内存转储来检测无文件恶意软件。

  • 恶意软件通过API调用和PE头信息来实现对其他Section的Payload调用。

  • 常见的API调用包括GetProcAddress、LoadLibraryA等,用于加载和调用DLL中的函数。

  • PE文件的结构包括DOS头、PE头和Section,Section中包含代码和数据。

  • 恶意软件可能使用混淆、加壳等技术来隐藏其行为,增加分析难度。

恶意软件分析方法 [1]

  • 静态分析:不执行恶意软件,通过检查代码、字符串和PE头等信息来了解恶意软件的行为。

  • 动态分析:在隔离环境中运行恶意软件,观察其行为和系统调用。

  • 内存分析:通过分析内存转储来检测无文件恶意软件。

  • 恶意软件分析的目的是了解其工作原理,确定其对系统的影响,并采取相应的防护措施。

  • 恶意软件分析师需要具备丰富的技术知识和经验,能够使用各种工具和技术进行分析。

img10

img11

img12

img13

img14

img15

静态分析 [1]

  • 静态分析不执行恶意软件,通过检查代码、字符串和PE头等信息来了解恶意软件的行为。

  • 常见的静态分析技术包括在线防病毒扫描、散列、字符串提取等。

  • 静态分析可以帮助分析师初步了解恶意软件的功能和行为。

  • 恶意软件可能使用混淆、加壳等技术来隐藏其行为,增加静态分析的难度。

  • 静态分析工具包括PE EXPLORER、PEview、PEstudio等。

img10

img11

img12

img13

img14

img15

动态分析 [2]

  • 动态分析在隔离环境中运行恶意软件,观察其行为和系统调用。

  • 恶意软件分析沙盒是用于动态分析的隔离环境,装载了分析和监视工具。

  • 动态分析可以收集TCP连接、DNS摘要、恶意软件行为、系统调用等信息。

  • 动态分析可以帮助分析师了解恶意软件在运行时的实际行为。

  • 常用的动态分析工具包括Cuckoo Sandbox、Remnux等。

img10

img11

img12

img13

img14

img15

内存分析 [1]

  • 内存分析通过分析从受感染机器收集的内存转储来进行。

  • 内存分析可以检测无文件恶意软件,这类恶意软件不会在磁盘上留下痕迹。

  • 常用的内存分析工具包括Volatility Framework。

  • 内存分析可以收集Bash历史、API挂钩、网络信息、内核加载模块等信息。

  • 内存分析需要分析人员具备丰富的技术知识和经验。

img10

img11

img12

img13

img14

img15

API调用 [1]

  • 恶意软件通过API调用来实现对其他Section的Payload调用。

  • 常见的API调用包括GetProcAddress、LoadLibraryA等,用于加载和调用DLL中的函数。

  • API调用可以帮助恶意软件实现其恶意行为,如加载恶意代码、执行系统命令等。

  • API调用分析可以帮助分析师了解恶意软件的行为和功能。

  • API调用分析工具包括API Monitor、Process Monitor等。

img10

img11

img12

img13

img14

img15

PE文件结构 [1]

  • PE文件是Windows中使用的可执行文件、DLL和目标代码的文件格式。

  • PE文件的结构包括DOS头、PE头和Section。

  • DOS头包含文件的基本信息,使其可以在DOS模式下运行。

  • PE头包含代码的位置、大小等信息。

  • Section包含文件的主要内容,如代码和数据。

img10

img11

img12

img13

img14

img15

混淆和加壳技术 [1]

  • 混淆是使恶意软件更难检测或分析的技术,包括死代码插入、寄存器重新分配和加密。

  • 加壳是将恶意软件与合法文件绑定,生成一个可执行文件。

  • 打包器是一种在执行打包文件时将自身解压到内存中的软件。

  • 混淆和加壳技术可以增加恶意软件分析的难度。

  • 分析师需要使用高级技术和工具来对抗混淆和加壳技术。

img10

img11

img12

img13

img14

img15

<br><br>