不能说是原创,只是以前的一部分笔记。
感染性病毒样本的处理流程:
1 分析感染原理,找到被感染样本中的病毒代码所在
2 分析病毒代码,找到原始入口代码地址的所在,取出并保存
3 取出病毒代码,并且重新计算PE文件加载入内存后所占内存的总大小,从而恢复PE头中镜像大小一项
4 恢复程序入口地址
计算机病毒特征的提取:
1 通过编译器特性定位特征值的提取位置(提取用户代码的特征,切勿定位到库代码中提取)
2 通过特殊字符串定位特征值的提取位置
3 通杀特征码(保证不会误报正常软件的前提下,使得一个特征值可以查杀更多的病毒样本)
分析工具:分为静态分析和动态分析。
1 常用动态分析工具有:OD、WinDbg……
2 常用静态分析工具有:IDA……
3 动态工具往往用在脱壳、解密方面,静态分析往往分析病毒的具体实现。
4 PE查看工具:PEID、PETools、Stud_PE……
作者:EasySecurity 发表于2013-11-25 0:02:33 原文链接
阅读:95 评论:0 查看评论