20145326蔡馨熤《计算机病毒》——静态分析(2)
基于样例代码lab01-02.exe.
- 相比于VirusTotal,我更喜欢用VirScan,因为前者太慢了。我们可以从报告中获得一些常用的杀毒软件病毒库对于这个文件的比对结果,从而判断是否是病毒文件。
- lab01-02.exe的扫描报告如下,点击"行为分析"看看。
- 利用PEiD查壳。结果显示的是“什么都没有”,这个时候有两个办法解决。一是选择“深度扫描”,二是点击“SET INFO”查看。
-
利用WSUNPACKER来脱壳,WSUNPACKER是一款通用的脱壳工具。但不是所有的恶意代码都能用工具直接脱壳,有些必须要手动脱壳,进行OD导入。很麻烦的~ 脱壳后的恶意代码后缀为“WSDump”。
-
再用PEiD查看脱壳后的代码。
- 关于样例代码的导入函数。利用Dependency Walker查看。一提到调用函数就要想到Dependency Walker这款工具,它的功能十分强大。
-
我们可以发现样例代码脱壳后,导入函数也产生了变化。
-
用来在被感染主机上进行该恶意代码的查找的线索。利用PEview查看。猜测可能会生成一个恶意代码的软件。静态分析就到这里,如果要深入研究,还得结合动态分析的技术才行!
