[置顶] 恶意代码--逆向分析基础入门

0x001

前期基础知识储备

1 恶意行为特征，病毒，蠕虫，木马的认识了解。

2 相应工具的操作基础学习。

0x002

系统环境

vmware12

win7 x64

0x003

工具清单

tcpview

pchunter

wireshark

process monitor

sublime

editplus

hash

depends

0x004

逆向流程

1 具体测试程序样本test.exe

File: C:\Users\ROOT\Desktop\TEMP\test.exe

Size: 84480 bytes

Modified: Wednesday, July 13, 2016, 8:26:25 PM

MD5: 9CB934CA6A22E5716217AB9F0A27B344

SHA1: CF9A12598D4C63FC36665B163810052F9FFE8CDD

CRC32: 3379D8C8



2 先快照备份系统

process monitor打开  规则设置为监控test.exe程序的行为特征。

    1  进程线程行为

    2  文件访问行为

    3  注册表访问行为

    4  网络行为行为

    5  线性事件活动行为



3 pchunter打开



4 wireshark打开



5 tcpview打开



0x005

然后双击程序，捕获行为。







0x006

整理结果如下（记录行为有以下几种）

1  该样本程序进行了多方式开机启动。

2  该样本程序没有进行网络通信建立连接。

3  该程序进行了自删除操作，实现隐藏自己。

4  该程序没有释放任何别的dll子文件。

5 二进制对比和hash校验，没有发现有自身文件变化。

6 注册表创建，修改，删除多项操作。

7 复制自身到开始启动文件夹。