病毒樣本分析小結
最近在學習病毒樣本分析,有一些初級的感悟,希望和大家多多交流。
我是使用IDA進行反彙編分析病毒樣本的,其實本人認為病毒解析在很大程度上是非理性的元素佔得多一些,一個程式,若果從main函式開始一點一點的進行分析,少說也要一個禮拜才能夠完成,而時間上付出的代價太大了,病毒樣本的分析,我覺得更多的是經驗上的積累,見得多了,就知道從哪裡開始下手。
在IDA中可以用Strings window ,export,import這幾個方面進行:
首先,進入到Strings window中,一個個看字串的名字,比如 (1)
你看到了如上圖的IP地址,就是一個需要注意的地方,這很可能是病毒網站的伺服器IP,就要進去看看:
在DATA XREF 中點選右鍵,選中jump to cross reference 進去一步步走。
再比如(2)
在字串中看到了網址,就可以搜一下這個站,看看它的屬性O(∩_∩)O哈!
還有一點(3)也是很有意思的一點,有時你可以看到fuck,ignoramus等單詞,這是寫病毒的人寫急眼了再洩憤,但也給我們告訴了,惡意程式碼的大概位置哈,因為在Windows下,微軟可不會用笨蛋。。。這類的詞的
接下來,在import中,主要注意的就是遍歷程序,Create程序,刪除程序等方面。
至於export中,看看哪些函式拿出了不應該拿出來的資訊。
import和export我會過後細說。
惡意程式碼有一個挺像的地方,就是都不願意在陽光下生活,他們總是生活在黑暗中,就是他們總是在程式中故意隱藏自己,若果在分析時發現誰,總是“低調”想把自己隱藏,大家就要多留心了。
再跟大家說個好玩的事,是我前輩給我說的,他們在進行病毒分析時發現某軟體在更新時總是要偷偷地刪除登錄檔裡面的東西,並沒有告訴任何人,後來發現這是某款流行防毒軟體,在更新時要先將自己的原有的一切幹掉,照常理說,這是私自做的,但因為他也是殺軟,所以把它放進了白名單。
我想說的是,其實惡意程式碼所處的環境很重要。希望和大家一同交流