首頁(yè)
社區(qū)
課程
招聘
感覺自己在閱讀監(jiān)控信息的時(shí)候有遇到一些瓶頸

提問者:FightingFly 2020-5-25

 

有些問題想得不是很明白..我在復(fù)盤了快速分析這塊的內(nèi)容后,也對(duì)虛擬機(jī)里面的十多個(gè)樣本嘗試進(jìn)行過快速分析,非pe類確實(shí)會(huì)特征較為明顯,但是對(duì)于exe類的程序,的確就像您說的那樣會(huì)出現(xiàn)比較麻煩比較難以分析的事情,很多方面單是靠hiew還是無從下手,我后來又在網(wǎng)絡(luò)上查找了一下相關(guān)的針對(duì)可執(zhí)行程序的分析方法,他們大都選擇了從行為分析和逆向工程這兩者結(jié)合的方式,但是這樣去細(xì)查的話,肯定是會(huì)增加了分析的耗時(shí)....想請(qǐng)教您一下,在比如快速分析大量的exe類程序這方面有什么可以學(xué)習(xí)的經(jīng)驗(yàn)嗎?我最近也有在練習(xí)使用火絨劍和procmon這兩款行為分析工具,靠這兩個(gè)來分析和抓取病毒的行為特征,來為他打上是否惡意的標(biāo)簽這樣可以嗎?如果使用這樣的軟件來進(jìn)行行為分析的話,對(duì)于系統(tǒng)常見進(jìn)程和注冊(cè)表信息之類的內(nèi)容是否還需要自己多學(xué)習(xí)掌握一些呢?感覺自己在閱讀監(jiān)控信息的時(shí)候有遇到一些瓶頸,好像是基礎(chǔ)不牢的那種感覺,請(qǐng)問有什么可以了解的渠道或者博客嗎?

收藏
1條回答
teacher 2023-5-23

根據(jù)我的實(shí)際工作經(jīng)驗(yàn),exe類文件一般來說是不適合做靜態(tài)快速分析的,當(dāng)然你可以結(jié)合相應(yīng)的監(jiān)控工具。主要從文件行為、注冊(cè)表行為以及網(wǎng)絡(luò)行為三方面進(jìn)行研究,比如是否將自己復(fù)制到了系統(tǒng)目錄,將自己偽裝成系統(tǒng)文件?是否為自身添加了注冊(cè)表啟動(dòng)項(xiàng)?是否一直在和某個(gè)未知網(wǎng)站進(jìn)行通信等,這些都是可疑的行為。你可以多看看各大安全公司寫的分析報(bào)告,總結(jié)流行惡意程序的特征,另外《惡意代碼分析實(shí)戰(zhàn)》這本書很不錯(cuò),建議你好好研究一下,可以的話,你把其中的所有樣本自己編程實(shí)現(xiàn)一遍,一定會(huì)收獲很大的。

回復(fù) 已采納
惡意程序分析與高級(jí)對(duì)抗技術(shù)
  參與學(xué)習(xí)     221 人
  提問次數(shù)     6 個(gè)
惡意程序分析與高級(jí)對(duì)抗技術(shù);惡意程序?qū)?、全面完整詳?xì)的分析惡意程序,了解惡意程序的行為
0
我的提問
0
我的回答
0
學(xué)習(xí)收益