恶意代码剖析实战

2020-04-13 明星新闻 阅读

  第0章 恶意代码剖析技巧入门1

  0.1 恶意代码剖析目标1

  0.2 恶意代码剖析技巧2

  0.2.1 静态剖析基础技巧2

  0.2.2 静态剖析基础技巧2

  0.2.3 静态剖析低级技巧2

  0.2.4 静态剖析低级技巧2

  0.3 恶意代码类型3

  0.4 恶意代码剖析通用规矩4

  第 1 篇 静态剖析

  第1章 静态剖析基础技巧 6

  1.1 反病毒引擎扫描:实用的第一步6

  1.2 哈希值:恶意代码的指纹7

  1.3 查找字符串7

  1.4 加壳与混淆恶意代码9

  1.4.1 文件加壳10

  1.4.2 应用PEiD 检测加壳10

  1.5 PE 文件格局11

  1.6 链接库与函数12

  1.6.1 静态链接、运转时链接与静态链接12

  1.6.2 应用Dependency Walker 对象寻找静态链接函数13

  1.6.3 导入函数14

  1.6.4 导出函数15

  1.7 静态剖析技巧实际15

  1.7.1 PotentialKeylogger.exe:一个未加壳的可履行文件15

  1.7.2 PackedProgram.exe:走投无路18

  1.8 PE 文件头与分节18

  1.8.1 应用PEview 来剖析PE 文件19

  1.8.2 应用Resource Hacker 对象来检查资本节22

  1.8.3 应用其他的PE 文件对象23

  1.8.4 PE 文件头概述23

  1.9 小结24

  1.10 试验24

  第2章 在虚拟机中剖析恶意代码 27

  2.1 虚拟机的结构27

  2.2 创立恶意代码剖析机28

  2.2.1 设备VMware29

  2.2.2 断开收集30

  2.2.3 创立主机形式收集30

  2.2.4 应用多个虚拟机30

  2.3 应用恶意代码剖析机31

  2.3.1 让恶意代码连接互联网31

  2.3.2 连接和断开中间装备32

  2.3.3 拍摄快照32

  2.3.4 从虚拟机传输文件33

  2.4 应用VMware 停止恶意代码剖析的风险34

  2.5 记录/重放:重复计算机运转轨迹34

  2.6 小结35

  第3章 静态剖析基础技巧 36

  3.1 沙箱:轻便但粗糙的方法36

  3.1.1 应用恶意代码沙箱36

  3.1.2 沙箱的缺点37

  3.2 运转恶意代码38

  3.3 过程监督器39

  3.3.1 过程监督器的显示40

  3.3.2 过程监督器中的过滤41

  3.4 应用过程浏览器(Process Explorer)来检查过程43

  3.4.1 过程浏览器的显示43

  3.4.2 应用验证选项44

  3.4.3 比拟字符串45

  3.4.4 应用依附遍历器(Dependency Walker)45

  3.4.5 剖析恶意文档46

  3.5 应用Regshot 来比拟注册表快照46

标签: