咨詢服務熱線
400-6446-808
古語有(yǒu)雲:“學如逆水(shuǐ)行(xíng)舟,不進則退。”面對如今随時(shí)都在變化的網絡安全環境更是如此。為(wèi)此,創信華通(tōng)微信公衆号特開(kāi)設“創安實驗室專欄”,以記錄創信華通(tōng)創安實驗室在技(jì)術(shù)上(shàng)的探索,加強同行(xíng)間(jiān)的交流,相互學習,共同進步。
✦+
+
惡意程序分析方法
簡單分析
快速分析技(jì)術(shù)+日志(zhì)分析技(jì)術(shù)→提取特征碼+簡要報告
詳細分析
靜态分析技(jì)術(shù)+動态分析技(jì)術(shù)→提取特征碼+詳細分析報告+專殺工具開(kāi)發+獲取C2
惡意代碼分析
1、在線反病毒引擎
2、hash獲取 certutil -hashfile 01.惡意代碼基礎知識.exe MD5
或者用電(diàn)腦(nǎo)自帶crc sha
3、查找字符串 hive string ida 火(huǒ)絨劍
4、查殼 pied
這個(gè)是沒有(yǒu)殼的,什麽都沒找到或者顯示其他名稱是有(yǒu)殼
5、導入導出函數(shù)
獲取函數(shù)地址+加載動态鏈接庫→動态尋找 winexec執行(xíng)
創建文件+寫文件+移動文件→移動自身,進行(xíng)隐藏
打開(kāi)進程+創建遠程線程→遠程線程注入
尋找資源+資源尺寸+加載資源→說明(míng)程序得(de)資源段裏面有(yǒu)隐藏得(de)東西,在釋放可(kě)執行(xíng)文件
進行(xíng)權限相關得(de)操作(zuò)。懷疑是提權
下載器(qì)和(hé)啓動器(qì)—沒有(yǒu)實際的惡意功能
6、獲取資源信息
dos頭+pe頭→可(kě)執行(xíng)程序,windows下的pe程序
發現是下載文件+執行(xíng)→下載器(qì)
7、在線沙箱
E·N·D
本文由創信華通(tōng)創安實驗室編輯。
本文僅限于個(gè)人(rén)學習和(hé)技(jì)術(shù)研究,由于傳播、利用此文所提供的信息而造成刑事案件、非授權攻擊等違法行(xíng)為(wèi),均由使用者本人(rén)負責,本單位不為(wèi)此承擔任何責任。創安攻防實驗室擁有(yǒu)對此文章的修改和(hé)解釋權,如欲轉載或傳播此文章,必須保證此文章的完整性,包括版權聲明(míng)等全部內(nèi)容。
如有(yǒu)侵權,請(qǐng)聯系後台。
●
創安實驗室
創信華通(tōng)創安實驗室,是成都伍紀信息科技有限公司旗下的技(jì)術(shù)研究團隊,成立于2021年9月,主要研究紅藍(lán)對抗、重大(dà)安全保障、應急響應等方向。
創安攻防實驗室圓滿完成了多(duō)次公安舉辦的重要網絡安全保障和(hé)攻防演習活動,并積極參加各類網絡安全競賽,屢獲殊榮。
創安攻防實驗室秉承創信華通(tōng)的發展理(lǐ)念,緻力打造國內(nèi)一流網絡安全團隊。
