恶意程序分析.pdf

恶意程序分析恶意程序分析 作者：姚纪卫(linxer) 目录目录  概述、分类  PEPE病毒分析病毒分析  PDF病毒分析  HTML病毒分析  其他病毒分析其他病毒分析  总结 一一、概述概述、分类分类  1.恶意程序定义：破坏、盗窃、传播等  22.分析工具分析工具：OllydbgOllydbg、WindbgWindbg 、IDAIDA、 Vmware 、010Editer、HIPS类监控软件、 XXueTTr （（简称简称XTXT ））类类ARKARK工具工具、VTVT等等  3.分类：一种是按文件格式分类（PE、PDF、 OLE2、Flash、HTML等）  44.重点讲解重点讲解：：PEPE、、PDFPDF、、HTMLHTML类型恶意程类型恶意程 序 二二、PEPE病毒分析病毒分析  1.文件静态信息预判  2.行为分析  33.简单检测方案简单检测方案 11 .文件静态信息预判文件静态信息预判((实例讲解实例讲解 ))  A1.伪装微软文件版本信息（md5:  442B55615343353433C77C8ED2199A77D1C ）  A2.A2.伪装成微软文件伪装成微软文件((某特别木马某特别木马))  B.B.版本信息随机化版本信息随机化 （（md5:md5:   BC89DF1CAB72437372471E）  C1.C1.可能的可能的ExeExe、、DllDll相互伪装相互伪装 （（md5:md5:   823BCDC05B3A7CDAB2E5A1 ）  C2C2.ExeExe、DllDll同文件同文件((某特别木马某特别木马))  D.额外数据（md5:  78660BB390863BF2EB975212188C7FC9 ））  E.E.加壳加壳、、PEPE头部信息头部信息  （md5:  E91F5323A8AE52B8B66F31DA7D021D42E91F5323A8AE52B8B66F31DA7D021D42  ））  （（md5:md5:   BDB1D941F54C980B9B9907 ）  （md5:  E2F0D3E2781650E7DDF6422F7D4D2534 ） FF.导入表导入表  （md55:  A99C1D66942FFC26498AA8FA2AF059EB ）  （（md5:md5:   411A86CE94EF59EFCEC43C88B9E40FE7 ）  （md55:  62D6CD8A4FB183FEC8A68C7B2AB29AE7 ） GG .IDAIDA反汇编反汇编 （md5:296E04ABB00EA5F18BA021C34E48674 66 ））  寄存器异常寄存器异常 （md5:7961119D5E4B518AB81F99F67B90ED 0000 ））  （（md5:md5:   A99C1D66942FFC26498AA8FA2AF059EB,刚 分析过的病毒分析过的病毒））  是否为僵尸进程？ UnmapViewOfFile  是否为注入型病毒？ WriteProcessMemoryWriteProcessMemory 二二、PEPE病毒分析病毒分析  1.文件静态信息预判  2.行为分析  33.简单检测方案简单检测方案 22 .行为分析行为分析  A.行为分析方法  B.病毒隐身行为  CC.病毒自保行为病毒自保行为  D.病毒其他行为 AA .行为分析方法行为分析方法  HIPS等行为监控软件  沙箱、在线分析系统  IDA+Debugger  反病毒类模拟器反病毒类模拟器 （（虚拟机虚拟机））  基于虚拟机的调试器基于虚拟机的调试器  XTXT类类ARKARK工具工具  HIPS类监控软件((md55:  81B5AE35ECA063A069ABA1)  在线分析系统 (md5:1F757