一、前言
上一篇文章讲解了“熊猫烧香”病毒样本的反汇编代码入口处的分析,虽然尚未研究到病毒的核心部分,但其实我们后续的分析与之前的思想是一致的。而越到核心部分,可能会遇到越来越多的API函数,结合所调用函数的参数进行分析,反而有助于我们更容易地理解病毒的行为。应当将分析出的每一个CALL函数,改为我们能够理解的名字,这往往也有助于对后续程序的理解。
二、病毒功能分析
...
分类:
其他好文 时间:
2014-11-18 16:02:21
阅读次数:
217
一、前言
对病毒进行逆向分析,可以彻底弄清楚病毒的行为,从而采取更有效的针对手段。为了节省篇幅,在这里我不打算将“熊猫烧香”进行彻底的分析,只会讲解一些比较重要的部分,大家只要掌握了这些思想,那么就可以处理很多的恶意程序了。一般来说,对病毒的静态分析,我们采用的工具是IDA Pro,动态分析则采用OllyDbg。由于后者会使病毒实际运行起来,所以为了安全起见,最好在虚拟机中操作。...
分类:
其他好文 时间:
2014-11-17 14:09:25
阅读次数:
254
一、前言
如果是非感染型的病毒,完成行为分析之后,就可以开始编写专杀工具了。当然对于我们这次研究的对象——“熊猫烧香”来说,其实通过之前的行为分析,我们并没有得出它的所有恶意行为,毕竟还没有对其进行逆向分析。所以这里仅针对我们上一篇文章所得出的结果,来进行专杀工具的编写。一般来说,专杀工具既可以用批处理实现,又可以用编程语言编写,但是现实中更多的还是用后者进行制作的,因为其更加严...
分类:
其他好文 时间:
2014-11-10 10:02:04
阅读次数:
271
一、前言
作为本系列研究的开始,我选择“熊猫烧香”这个病毒为研究对象。之所以选择这一款病毒,主要是因为它具有一定的代表性。一方面它当时造成了极大的影响,使得无论是不是计算机从业人员,都对其有所耳闻;另一方面是因为这款病毒并没有多高深的技术,即便是在当时来讲,其所采用的技术手段也是很一般的,利用我们目前掌握的知识,足够将其剖析。因此,我相信从这个病毒入手,会让从前没有接触过病毒研究...
分类:
其他好文 时间:
2014-11-03 14:39:20
阅读次数:
291
一、前言
对于感染型病毒而言,如果对同一个目标文件多次进行感染,有可能导致目标文件损坏,使得无法执行。所以病毒程序往往会在第一次感染时对目标文件写进一个感染标志,这样在第二次遇到该文件时,首先判断一下该文件中是否包含有感染标志,如果有,则不再感染,如果没有感染标志则进行感染(关于文件的感染,可参见《反病毒攻防研究第004篇:利用缝隙实现代码的植入》和《反病毒攻防研究第005篇:添...
分类:
其他好文 时间:
2014-10-30 15:22:48
阅读次数:
230
【导入与导出配置】
一旦您配置了一个筛选器,您可以使用“工具(Tools)”菜单中的“保存筛选器(SaveFilters)”菜单项将其保存。Process Monitor将您所保存的筛选器添加到“读取筛选器(Load Filter)”菜单,便于您能够方便地访问。您也可以选择“工具(Tools)”菜单中的“管理筛选器(Organize Filters)”来打开管理筛选器对话框,以改...
分类:
其他好文 时间:
2014-10-28 18:03:32
阅读次数:
323
【筛选与高亮显示】
Process Monitor提供了一些方式来配置筛选器和高亮显示。
筛选器的包含与排除
您可以在筛选器中指定事件的属性,这样就可以令Process Monitor仅显示或排除与您所指定的属性值相匹配的事件。所有的筛选器都是无损检测,也就是说这仅会对Process Monitor显示事件的方式产生影响,而不会影响潜在的事件数...
分类:
其他好文 时间:
2014-10-28 13:59:21
阅读次数:
217
一、前言
现今的杀毒软件都会带有“行为监控”的功能。该功能可以在可疑进程被创建时,或者注册表敏感位置被写入时等情况下,给予用户以提示,让用户来选择是否对相应的可疑操作进行拦截,从而达到主动防御的目的。这样就可以避免传统杀软依靠特征码查杀病毒的滞后性。行为监控工具可以在恶意程序还未正式产生危害时,就将其扼杀。
在制作病毒专杀工具的时候,往往也会使用行为监控工具。比...
分类:
其他好文 时间:
2014-10-24 19:05:14
阅读次数:
256
本书基本信息
丛书名:安全技术大系
作者:王清(主编),张东辉、周浩、王继刚、赵双(编著)
出版社:电子工业出版社
出版时间:2011-6-1
ISBN:9787121133961
版次:1
页数:753
字数:780000
印刷时间:2011-6-1
开本:16开
纸张:胶版纸
印次:1
包装:平装
书籍封面
内容简介
本...
分类:
其他好文 时间:
2014-10-16 19:52:33
阅读次数:
238
无论是对于反病毒工程师还是逆向分析爱好者来说,汇编都是他们必学的知识,可以说汇编是一切逆向研究的根本。不管是使用OllyDbg还是IDA Pro,又或者是其它的一些反汇编工具,我们进行逆向分析的时候,是只能查看目标程序的汇编代码的,通过分析其汇编代码,来推测程序的运行机理。因此从这个角度来说,想研究逆向,就一定要精通汇编。...
分类:
编程语言 时间:
2014-10-15 14:59:40
阅读次数:
248
