古語有(yǒu)雲：“學如逆水(shuǐ)行(xíng)舟，不進則退。”面對如今随時(shí)都在變化的網絡安全環境更是如此。為(wèi)此，創信華通(tōng)微信公衆号特開(kāi)設“創安實驗室專欄”，以記錄創信華通(tōng)創安實驗室在技(jì)術(shù)上(shàng)的探索，加強同行(xíng)間(jiān)的交流，相互學習，共同進步。

✦+

快速分析技(jì)術(shù)+日志(zhì)分析技(jì)術(shù)→提取特征碼+簡要報告

靜态分析技(jì)術(shù)+動态分析技(jì)術(shù)→提取特征碼+詳細分析報告+專殺工具開(kāi)發+獲取C2

1、在線反病毒引擎

2、hash獲取 certutil -hashfile 01.惡意代碼基礎知識.exe MD5

或者用電(diàn)腦(nǎo)自帶crc sha

 3、查找字符串 hive string ida 火(huǒ)絨劍

4、查殼 pied

這個(gè)是沒有(yǒu)殼的，什麽都沒找到或者顯示其他名稱是有(yǒu)殼

5、導入導出函數(shù)

獲取函數(shù)地址+加載動态鏈接庫→動态尋找 winexec執行(xíng)

創建文件+寫文件+移動文件→移動自身，進行(xíng)隐藏

打開(kāi)進程+創建遠程線程→遠程線程注入

尋找資源+資源尺寸+加載資源→說明(míng)程序得(de)資源段裏面有(yǒu)隐藏得(de)東西，在釋放可(kě)執行(xíng)文件

進行(xíng)權限相關得(de)操作(zuò)。懷疑是提權

下載器(qì)和(hé)啓動器(qì)—沒有(yǒu)實際的惡意功能

6、獲取資源信息

dos頭+pe頭→可(kě)執行(xíng)程序，windows下的pe程序

發現是下載文件+執行(xíng)→下載器(qì)

 7、在線沙箱

創安實驗室