20145233计算机病毒实践3之静态分析3
Lab01-02静态分析
Virscan
-
使用网页杀毒工具分析,是在网络攻防课上学到的一种静态分析手段
-
再次点击旁边的文件行为分析,可以看出这个程序模逆的功能
PEiD
-
可以看出来已经被加壳了
-
看不到是什么加壳的,info后可以看到使用的UPX加壳
PEview
- PEview查看32位可移植可执行(PE)和组件对象文件格式(COFF)文件的结构和内容,提供了一种快速简便的方法。这家PE / COFF文件查看器显示标题,章节,目录,导入表,导出表,内部信息和资源的EXE,DLL,OBJ,LIB,DBG,和其他文件类型。
- 可以看到对于程序的二进制数据
Dependency Walker
-
利用这个工具可以查到调用的函数
-
可以看到使用了很多的函数
Lab01-03
Virscan
-
使用网页杀毒工具分析,是在网络攻防课上学到的一种静态分析手段
-
我想再次分析脱壳玩的01-03,但是一分析就出现504错误,不知道为什么
PEiD
-
这个被加壳了,使用去壳工具,强制去掉所加的壳
- 去掉后可以看到使用的vc6编译的
PEview
-
直接使用的话,因为是加壳过得,所以得到的信息很少
-
再次使用PEview查看去壳后的,得到更加详细的信息,可以找到一个网站,感觉这个病毒程序是链接一个挂马网站
Dependency Walker
-
没有脱壳前只能看到两个函数,所以进行脱壳后再次分析
-
得到很多更加详细的函数,这样就可以通过分析函数来判断程序的行为
