病毒分析系列2 | 使用PE工具进行初步静态分析

逆向病毒分析 2年前 (2022) admin
463 0 0

前言

接上篇(点击文字即可查看上篇内容)进行病毒分析时,在进行具体的病毒行为分析前,需要或许可疑文件的基本信息,此时可以使用pe工具进行分析和获取

基本静态信息获取

一般需要获取的信息包括但不限于:

  1. 程序哈希值

  2. 导入函数表

  3. 导出函数表

  4. 是否有壳

  5. 程序的位数

  6. 字符串

具体步骤

使用exeinfope获取相关信息

  1. 讲文件拖入到exeinfope.exe中,可获取该文件的PE信息,示例如下:

病毒分析系列2 | 使用PE工具进行初步静态分析

如图中标记,可以知道:

①该程序是个32的可执行程序

②通过节区信息可以判断是否加壳,该程序没加壳,现实的是正常的.text节区

如下图:可以看到加了upx壳

病毒分析系列2 | 使用PE工具进行初步静态分析

  1. 点击图中的PE,可以进一步获取导入表等相关信息

病毒分析系列2 | 使用PE工具进行初步静态分析

  1. 导入表、导出表信息可以帮助我们获取到程序所用到的功能函数,在恶意代码中获取常用的windows api.

病毒分析系列2 | 使用PE工具进行初步静态分析病毒分析系列2 | 使用PE工具进行初步静态分析

初学者应该多翻翻导入的函数,熟悉哪些是恶意软件常用函数以及了解常用的windows api函数

常见dll程序如下:

Kemel32.dll – 这是 个很常见的 DLL 它包含核心系统功能,如访问和操作内存、文件和硬件,

等等

Advapi32.dll – 这个 DLL 提供了对核心 Window 组件的访问,比如服务管理器和注册表

User32.dll – 这个 DLL 包含了所有用户界面组件,如按钮、滚动条以及控制和响应用户操作的组件

Gdi32.dll – 这个 DLL 中包含了图形显示和操作的函数

Ntdll.dll – 这个 LL Window 内核的接口 可执行文件通常不直接导入这个函数,而是由 Kemel32.dll 接导入,如果这个可执行文件导入了这个文件,这意味着作者企图使用那些不是正常提供给 Windows 程序使用的函数。一些如隐藏功能和操作进程等任务会 使用这个接口

Wsock32.dll、Ws2 32.dll  – 这两个是联网 DLL, 访问其中任 DLL 程序非常可能连接网络,或是执行网络相关的任务

Wininet.dll – 这个 DLL 包含了更高层次的网络函数,实现了如 TP HTT NT 协议

使用PE-bear.exe获取相关信息

病毒分析系列2 | 使用PE工具进行初步静态分析

总结

在该文章中所涉及的知识主要是pe文件格式的相关知识,使用文字进行原理说明会相对冗余。

使用工具进行初步的静态分析实践起来,后续可以对照PE格式进行分析。

往期回顾

【资源分享】先知社区文章合集

病毒分析系列 _ 病毒分析环境搭建

信息收集系列|子域名收集姿势总结

小程序渗透测试系列(一)解密与解包及抓包环境搭建

后记

SpaceSec安全团队热衷分享网络安全相关的技术,希望能和各位师傅们一同成长,后续更新内容将会在公众号中持续更新,欢迎关注交流呀~

欢迎加私人微信:SpaceSec_S(不定期发放粉丝福利!)

病毒分析系列2 | 使用PE工具进行初步静态分析

声明

  1. 本文初衷为分享网络安全知识,请勿利用技术做出任何危害网络安全的行为,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,与SpaceSec安全团队及作者无关!

  2. 文章中部分学习内容来自于网络,回馈予网络,如涉及版权问题,请联系删除。

  3. SpaceSec 保留对文章绝对的解释权,转载与传播时须保证文章的完整性,同时标明出处。未经允许,禁止转载或用于商业用途。

原文始发于微信公众号(SpaceSec安全团队):病毒分析系列2 | 使用PE工具进行初步静态分析

版权声明:admin 发表于 2022年10月13日 下午2:01。
转载请注明:病毒分析系列2 | 使用PE工具进行初步静态分析 | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...