首頁(yè)
社區(qū)
課程
招聘
感覺(jué)自己在閱讀監(jiān)控信息的時(shí)候有遇到一些瓶頸

提問(wèn)者:FightingFly 2020-5-25

 

有些問(wèn)題想得不是很明白..我在復(fù)盤(pán)了快速分析這塊的內(nèi)容后,也對(duì)虛擬機(jī)里面的十多個(gè)樣本嘗試進(jìn)行過(guò)快速分析,非pe類(lèi)確實(shí)會(huì)特征較為明顯,但是對(duì)于exe類(lèi)的程序,的確就像您說(shuō)的那樣會(huì)出現(xiàn)比較麻煩比較難以分析的事情,很多方面單是靠hiew還是無(wú)從下手,我后來(lái)又在網(wǎng)絡(luò)上查找了一下相關(guān)的針對(duì)可執(zhí)行程序的分析方法,他們大都選擇了從行為分析和逆向工程這兩者結(jié)合的方式,但是這樣去細(xì)查的話,肯定是會(huì)增加了分析的耗時(shí)....想請(qǐng)教您一下,在比如快速分析大量的exe類(lèi)程序這方面有什么可以學(xué)習(xí)的經(jīng)驗(yàn)嗎?我最近也有在練習(xí)使用火絨劍和procmon這兩款行為分析工具,靠這兩個(gè)來(lái)分析和抓取病毒的行為特征,來(lái)為他打上是否惡意的標(biāo)簽這樣可以嗎?如果使用這樣的軟件來(lái)進(jìn)行行為分析的話,對(duì)于系統(tǒng)常見(jiàn)進(jìn)程和注冊(cè)表信息之類(lèi)的內(nèi)容是否還需要自己多學(xué)習(xí)掌握一些呢?感覺(jué)自己在閱讀監(jiān)控信息的時(shí)候有遇到一些瓶頸,好像是基礎(chǔ)不牢的那種感覺(jué),請(qǐng)問(wèn)有什么可以了解的渠道或者博客嗎?

收藏
1條回答
teacher 2023-5-23

根據(jù)我的實(shí)際工作經(jīng)驗(yàn),exe類(lèi)文件一般來(lái)說(shuō)是不適合做靜態(tài)快速分析的,當(dāng)然你可以結(jié)合相應(yīng)的監(jiān)控工具。主要從文件行為、注冊(cè)表行為以及網(wǎng)絡(luò)行為三方面進(jìn)行研究,比如是否將自己復(fù)制到了系統(tǒng)目錄,將自己偽裝成系統(tǒng)文件?是否為自身添加了注冊(cè)表啟動(dòng)項(xiàng)?是否一直在和某個(gè)未知網(wǎng)站進(jìn)行通信等,這些都是可疑的行為。你可以多看看各大安全公司寫(xiě)的分析報(bào)告,總結(jié)流行惡意程序的特征,另外《惡意代碼分析實(shí)戰(zhàn)》這本書(shū)很不錯(cuò),建議你好好研究一下,可以的話,你把其中的所有樣本自己編程實(shí)現(xiàn)一遍,一定會(huì)收獲很大的。

回復(fù) 已采納
惡意程序分析與高級(jí)對(duì)抗技術(shù)
  參與學(xué)習(xí)     223 人
  提問(wèn)次數(shù)     6 個(gè)
惡意程序分析與高級(jí)對(duì)抗技術(shù);惡意程序?qū)埂⑷嫱暾敿?xì)的分析惡意程序,了解惡意程序的行為
學(xué)習(xí)課程
我的問(wèn)答 領(lǐng)取收益
0
我的提問(wèn)
0
我的回答
0
學(xué)習(xí)收益
?2000 - 2024 看雪 / 滬ICP備2022023406號(hào) / 滬公網(wǎng)安備 31011502006611號(hào)

郵件