恶意代码分析。如何处理加壳器以及如何弄清楚它是用什么语言编写的?
Analysis of hostile code. How to deal with packer and how to figure out the language it is written on?
我从一封 public 电子邮件中收到一封带有受感染附件的定制电子邮件。我想更多地了解有效载荷。研究这个的正确方法是什么?我想使用调试器。更简单但风险更高的选择是 运行 它在 Windows guest/Linux 主机上,在没有 wifi 卡的牺牲盒上,并比较感染前后的磁盘映像。
如果我使用调试器方式,我应该如何解压代码?
如何判断恶意软件是用什么语言编写的?
是否可以通过更改防御性条件跳转(例如 "if debugger present" 跳转,或者还有其他陷阱?
来调试任何代码
恶意软件越狱 vmware 并感染 Linux 主机的可能性有多大?
这是一个耗时的项目。您应该熟悉几种工具:
您将需要识别加壳器。 PEID 是一个好的开始。
解包工具(GUNPacker)。
调试器(OllyDbg 或 WinDbg)。
代码分析工具(LordPE)。
反汇编程序。
二进制分析工具 (PE Explorer)。
至少要有信心在您自己的代码中使用这些工具。否则,最好还是联系专业人士吧。
我从一封 public 电子邮件中收到一封带有受感染附件的定制电子邮件。我想更多地了解有效载荷。研究这个的正确方法是什么?我想使用调试器。更简单但风险更高的选择是 运行 它在 Windows guest/Linux 主机上,在没有 wifi 卡的牺牲盒上,并比较感染前后的磁盘映像。
如果我使用调试器方式,我应该如何解压代码?
如何判断恶意软件是用什么语言编写的?
是否可以通过更改防御性条件跳转(例如 "if debugger present" 跳转,或者还有其他陷阱?
来调试任何代码
恶意软件越狱 vmware 并感染 Linux 主机的可能性有多大?
这是一个耗时的项目。您应该熟悉几种工具:
您将需要识别加壳器。 PEID 是一个好的开始。
解包工具(GUNPacker)。
调试器(OllyDbg 或 WinDbg)。
代码分析工具(LordPE)。
反汇编程序。
二进制分析工具 (PE Explorer)。
至少要有信心在您自己的代码中使用这些工具。否则,最好还是联系专业人士吧。