病毒分析快速入门(一)-环境配置与学习资源
本帖最后由 mortalboold 于 2020-4-12 22:30 编辑小C无聊的躺在床上,刷着#开学#话题微博。都怪这该死的疫情,开学一拖再拖,在教室后排偷看女神的机会又少了。 开学之日恐怕即是毕业之时了,小c 在失去女神背影患得患失的心情中,也不得不考虑工作的问题。回顾大学四年,小c所得称号最多得只有:“召唤师峡谷黑铁战五渣,海岛雨林人体描边大师”。 以及刚好及格得c语言,一点点汇编知识,ODF2下断点,f9运行,f7步进,f8步过。IDA F5。想着这些,小C在招聘网站筛选着合适的岗位,突然,某安全公司发布的病毒分析师岗位映入眼帘,看起来颇为合适
Emmmm.这已经是关键字匹配最多的招聘了。既然找到了方向,得深入搞一搞才行,网上找些病毒分析分析,以防面试被问懵逼。小C如是想到。正所谓“工欲善其事必先利其器”,要分析样本之前,得把分析环境,分析工具搞好。 环境搭建1. 搭建虚拟机环境对于分析病毒木马,直接在系统上分析可能导致自己得电脑遭到病毒木马感染,所以一般分析需要在虚拟机中进行,这里选用VMWARE,操作系统最好选用32位得。系统镜像可在https://msdn.itellyou.cn/进行下载
虚拟机安装教程:https://jingyan.baidu.com/article/7f41ecec202013593d095c20.html
2. 工具逆向分析常用得工具可在52pojie.cn的爱盘进行下载https://down.52pojie.cn/Tools/、
也可直接选用52上有人整理好的吾爱破解工具包,但这些工具都是原作者收集整理,不保证又工具会有恶意行为等,所以最好在虚拟机中运行。
下
载地址: 百度网盘:https://pan.baidu.com/s/1nwJg0eX密码:iuj3
行为分析工具:SysTracer
下载地址:链接:https://pan.baidu.com/s/14KadlAq_vuNkLwXI_Ih_CQ提取码:2jt7
最好在装个office用于分析文档类的样本。将这些放入虚拟机后,点击虚拟机上的时钟一个+按钮,添加一个系统快照,当分析病毒污染系统后,可用于恢复一个干净的分析环境
准备好本地的分析环境后,还可以借助在线的免费沙箱协助分析
1. anyrun沙箱,app.any.run该沙箱功能比较强大,免费注册后还支持下载样本
2. 微步在线沙箱https://s.threatbook.cn/微步云沙箱的虚拟执行环境能够模拟Windows 7 和 Linux 操作系统,
并根据文件类型自动选择合适的运行环境。
支持的文件类型包括:PE 可执行文件(EXE、DLL、COM 等),Office 文档(DOC、XLS、PPT 等),PDF,HTML,Script,MSI,SWF,JAR,LNK ,ELF,各种压缩包(ZIP、RAR、7Z 等)。
3.奇安信云沙箱 结合多AV引擎检测、虚拟环境行为分析、威胁情报关联、自动化文件tag、启发式检测等技术,
提供更精准的检测结果、更具体的威胁类别以及更直观的分析结果,可以满足多个场景下对恶意软件的检测、研判、分析需求。
学习资源如果还没有小c厉害,不会od和ida的简单操作,可以通过一下教程学习一下小甲鱼学OD: https://www.bilibili.com/video/av30969642小甲鱼汇编教程:https://www.bilibili.com/video/av48833965?from=search&seid=5857416780882921639IDA 基本使用https://www.jianshu.com/p/3f24e285a6bc病毒木马查杀实战: https://blog.csdn.net/ioio_jy/article/details/40708869
那个工具集的压缩包解压密码是:52pojie 吗,为什么我解压不成功呢?用的是专门的7z解压工具,win和mac下都不行。 感谢分享,受益匪浅 支持一下 希望大佬继续更新一直想学习一下 持续关注,向大佬学习 感谢分享,受益匪浅 受教了 好好学习 老哥看见的莫非是 火绒的招聘 楼主有64位的systracer吗?我没有找到啊 感谢分享!!!!!!!!!!!!!!!!!!!!!!! 学习了,高深莫测