恶意代码分析之必备家当及基本流程

mstwugui

工欲善其事，必先利其器。希望这个帖子能为有兴趣进入反病毒行业的朋友提供一些基本信息。

先说说硬件：
条件允许的情况下，2条不同网络运营商提供的线路，2台或以上的电脑，具体配置自己感觉满意就行
虽然用虚拟机也可以，但难免某些恶意代码有虚拟机检测机制，所以能用真机就尽量用了


接下来是必备软件：
Windows XP（别嫌弃老，老有老的好处，轻便+省事）
IDA Pro（虽然市面上还有别的反汇编工具，一是因为IDA强大，二是因为反病毒行业必备，如果哪位兄弟非要用别的，面试时被BS千万别说没提醒过。另外Hex-rays的反编译插件确实很强大，但是太贵了没闲钱买，另一方面养成自己动手丰衣足食的好习惯后其实也不差那个插件）
OllyDbg（同上，行业必备。但说实话，个人很少用，不是说它不好，而是IDA的注释太重要了，能静态IDA的绝不调试，即便实在要调试，能用IDA自带的调试器搞定的就直接搞定了，实在不行再换Olly）
WinDbg（同上，行业必备，调试驱动利器。和前者一样，个人很少用，也不是说它不好，只不过大多驱动直接用IDA静态也就够了）
Wireshark（截数据包必备利器。和前者一样，个人很少用，也不是说它不好，只是分析时我很少会真让恶意代码彻底跑起来，有需要或是静态逆出来，或是直接从调试器里抓出来了）

还有几款小软件，个人比较喜欢，但不是必须的
010 Editor
DeDe
Ghost
Hiew
LordPE
WinHex

除此之外还需要一些监测小软件，其实有很多免费的或共享的，但出于减少被恶意代码忽悠的考虑，所以个人觉得能写的还是自己写好，就算不能写，也尽量选个不知名的。

系统变化监测
API监测
Rootkit监测

其他用于测试的备用软件：
各类服务器（HTTP, SMTP, FTP, IRC等等）
各类常见IM（QQ，MSN，YAHOO等等）
Microsoft Office（各个版本的安装文件）
Adobe Acrobat Reader（各个版本的安装文件）
Adobe Flash Player（各个版本的安装文件）

最后提一下恶意代码样本的基本分析流程（不包含特征码提取）：
1. 恢复系统镜像（避免在已感染的环境下被其他信息误导）
2. 快速查看是否有可疑字符串
3. 快速查看代码入口地址是否有被感染痕迹
4. 运行，监测并记录系统变化以确定是否是恶意代码
5. 如果需要的话，用IDA静态分析
6. 如果需要的话，写一些辅助脚本或代码协助分析
7. 如果需要的话，用调试器调试
8. 如果需要的话，对相关域名，服务器，邮件地址等做背景调查
9. 文档化相关内容
10. 备份所有相关文件

当然，对于在杀软工作的朋友来说，通常还会需要提取特征码(一般是在静态分析之前），也可能会需要写修复工具，但那些工作细节不同公司会有不同的要求和流程，这里就不多做讨论了。

neinei

顶，总结好全面啊。学习~~

胡乱说几句，什么计算 MD5,CRC32 啥小工具自然要多，推荐hashcalc ，计算器推荐 破解计算器。注册表方面少不了regworkshop，查壳没思路时，可用冷门工具fastscanner，有时候有惊喜哦。
spy4win小狗头，autoruns ，文件快照 ...

最后准备纸和笔@￥！@！@！#，啥年代了还用这个。
嗯，好记性不如烂笔头。
样本如不涉及保密，提前用VT扫描一下了解个大概也好。

luckykevin

好东西收藏了

wguo3

我想求教各位，如何提高对于何种API函数的了解？
比如如何熟悉各种函数的asm代码？
自己写自己逆的话怕出错，有类似的可以学习的文章么？

mstwugui

我说的自己写自己逆，可以简单到哪怕只有一行，例如strlen("ABC")或是Length('ABC')
这些都是些常见库函数的使用，对于公开的不公开的API而言，在有需要的时候google或是msdn就可以了

讨论安防的帖子和文章就是太少了，否则我也不会想起来写这个了

mstwugui

个人比较倾向自己动手丰衣足食，所以对第三方软件能不用则不用，
不过楼上neinei的这几个建议很好，非常感谢

最后准备纸和笔@￥！@！@！#，啥年代了还用这个。
嗯，好记性不如烂笔头。
样本如不涉及保密，提前用VT扫描一下了解个大概也好。

winnarsun

工具太多，有时看得头晕，LZ经验收藏备用

小人物大智慧

乌龟大师的 好文 顶礼膜拜

www52pojiecn

收藏了，写的真好