分析

前：

1.建立虛擬環(huán)境（安全）

2.靜態(tài)分析

• 指通過反病毒引擎掃描識別已知的惡意代碼家族和變種名

• 逆向分析惡意代碼模塊構(gòu)成，內(nèi)部數(shù)據(jù)結(jié)構(gòu)，關(guān)鍵控制流程等，理解惡意代碼的機(jī)理，并提取特征碼用于檢測。

• 常用工具包括PEview、PEID 、IDA（加殼的能脫殼就脫，利用工具能得到結(jié)論的是沒加殼的惡意代碼）

中：

3.脫不了就動態(tài)分析

• 指通過在受控環(huán)境中執(zhí)行目標(biāo)代碼，以獲取目標(biāo)代碼的行為及運(yùn)行結(jié)果。

目標(biāo)：

• 為網(wǎng)絡(luò)入侵事件的響應(yīng)提供所需信息

• 確定到底發(fā)生了什么

• 確保定位出所有受感染的主機(jī)和文件

• 確定惡意代碼可以做什么

• 分析出主機(jī)特征和網(wǎng)絡(luò)特征，以便檢測

例如：動態(tài)分析a.exe。

假如釋放新的c.dll或c.exe，再對釋放的代碼進(jìn)行靜態(tài)動態(tài)分析（目標(biāo)惡意代碼是下載器之類的）

惡意代碼是否自啟動——資源配置（文件釋放，修改注冊表、注冊服務(wù)等等）——網(wǎng)絡(luò)行為（連接web服務(wù)器下載東西等等）

把a(bǔ).exe運(yùn)行起來，要針對a.exe中PID 2503（注入到explorer.exe中）的進(jìn)程行為進(jìn)行分析監(jiān)控，對進(jìn)程行為分析processmonitor（進(jìn)程行為、注冊表、文件、API調(diào)用（IAP hook）、端口（專門列舉端口的應(yīng)用程序）等等）

針對c.exe——如果注冊成服務(wù)，以內(nèi)核態(tài)運(yùn)行——到內(nèi)核層用hook（API調(diào)用）