本文转载自微信公众号《绕过》,作者绕过。转载本文请联系旁路公众号。当服务器受到病毒攻击时,使用杀毒软件检测到恶意程序,您将其删除。但是几天后,同样的安全事件又发生了,很明显恶意程序并没有被清理干净。我们需要知道这个恶意代码做了什么以及如何有效地检测它,从而进一步消除它的影响。本文主要通过几个简单的步骤分享恶意样本分析的基本方法。1、多引擎在线病毒扫描发现恶意样本程序,通过多病毒引擎安全扫描,帮助您判断文件是否为恶意程序。VirSCAN:免费多引擎在线病毒扫描1.02版,支持47种杀毒引擎。https://www.virscan.org/VirusTotal:在线多杀毒引擎扫描网站,使用70多种杀毒扫描器进行检测。https://www.virustotal.com/gui/2。文件哈希值文件哈希值是恶意代码的指纹,用于确认文件是否被篡改,或者通过HASH值查找恶意样本。通常,我们还可以使用多种哈希值来验证文件的唯一性。3、查找字符串通过在程序中查找字符串,可以获得程序功能提示。Strings:https://docs.microsoft.com/en-us/sysinternals/downloads/strings4.查毒使用PEiD检测加壳,解壳过程往往非常复杂。5.PE文件头PE文件头包含了很多有用的信息,比如导入/导出函数、时间戳、资源段等信息。通过获取关键信息可以猜测恶意代码的功能。6、云沙箱分析将恶意样本上传至微步云沙箱,利用威胁情报、静态和动态行为分析发现恶意程序异常。微布云沙箱:https://s.threatbook.cn/7。动态行为分析使用TinderSword对文件行为、注册表行为、进程行为、网络行为进行分析,捕获恶意样本特征。
