快毕业了也应该给自己定个明确的方向,对于病毒分析这方面的知识确实还是感兴趣的,这里收集了一些资料,给大家分享一下。
以下来自乌龟,略有改动
先说说硬件:
条件允许的情况下,2条不同网络运营商提供的线路,2台或以上的电脑,具体配置自己感觉满意就行
虽然用虚拟机也可以,但难免某些恶意代码有虚拟机检测机制,所以能用真机就尽量用了
必备工具:
Windows XP(别嫌弃老,老有老的好处,轻便+省事)
IDA Pro(虽然市面上还有别的反汇编工具,一是因为IDA强大,二是因为反病毒行业必备,如果哪位兄弟非要用别的,面试时被BS千万别说没提醒过。另外Hex-rays的反编译插件确实很强大,但是太贵了没闲钱买,不过有破解版的,另一方面养成自己动手丰衣足食的好习惯后其实也不差那个插件)
OllyDbg(同上,行业必备。但说实话,个人很少用,不是说它不好,而是IDA的注释太重要了,能静态IDA的绝不调试,即便实在要调试,能用IDA自带的调试器搞定的就直接搞定了,实在不行再换OD)
WinDbg(同上,行业必备,调试驱动利器,大多驱动直接用IDA静态也就够了。我一般用它来调试内核)
Wireshark(截数据包必备利器。和前者一样,个人很少用,也不是说它不好,只是分析时我很少会真让恶意代码彻底跑起来,有需要或是静态逆出来,或是直接从调试器里抓出来了)
还有一些小软件,个人比较喜欢,但不是必须的
010 Editor,DeDe,Ghost,Hiew,LordPE,WinHex,c32等
除此之外还需要一些监测小软件,其实有很多免费的或共享的,但出于减少被恶意代码忽悠的考虑,所以个人觉得能写的还是自己写好,就算不能写,也尽量选个不知名的。
主要有:系统变化监测、API监测、Rootkit监测
其他用于测试的备用软件:
各类服务器(HTTP, SMTP, FTP, IRC等等)
各类常见IM(QQ,MSN,YAHOO等等)
Microsoft Office(各个版本的安装文件)
Adobe Acrobat Reader(各个版本的安装文件)
Adobe Flash Player(各个版本的安装文件)
最后提一下恶意代码样本的基本分析流程(不包含特征码提取):
1. 恢复系统镜像(避免在已感染的环境下被其他信息误导)
2. 快速查看是否有可疑字符串
3. 快速查看代码入口地址是否有被感染痕迹
4. 运行,监测并记录系统变化以确定是否是恶意代码
5. 如果需要的话,用IDA静态分析
6. 如果需要的话,写一些辅助脚本或代码协助分析
7. 如果需要的话,用调试器调试
8. 如果需要的话,对相关域名,服务器,邮件地址等做背景调查
9. 文档化相关内容
10. 备份所有相关文件
当然,对于在杀软工作的人来说,通常还会需要提取特征码(一般是在静态分析之前),也可能会需要写修复工具,但那些工作细节不同公司会有不同的要求和流程,这里就不多做讨论了。
分享到:
相关推荐
通过这本电子书,,实际上也是一部工具书,中毒自己处理,编写windows程序时候,有时就要用到注册表了,,往往面对复杂注册表你又无从下手,这时你可以用它来处理
说明:无论是哪家出品的xp系统,都可以用本工具进行快速维护! 给大家一个电脑优化维修工具 感觉自己电脑有问题的可以下过来用用 主要包括快速系统优化,共享设置,清理垃圾,系统修复等! 系统修复的中的xp疑难彻底...
快微软件是一款多功能的微博运营软件,是微博推广、微博营销必备工具。微博用户基数大、传播性强,非常适合做推广营销。利用微博做推广营销,微博需要“养”,需要“管”。只有养好、管好自己的微博,才能获得更多的...
IDA Pro是一款交互式的,可编程的,可扩展的,多处理器的,交叉Windows或Linux WinCE MacOS平台主机来分析程序, 被公认为最好的花钱可以买到的逆向工程利器。IDA Pro已经成为事实上的分析敌意代码的标准并让其自身...
6、全盘清理AUTORUN.inf病毒 7、文件保护功能。可以防止查看你不想让别人看的东东。 8、查看本机的IP配置,如网卡、ip地址、MAC地址、网关和DNS 9、查看本机开放端口和使用端口的进程 10、可以将任意FAT磁盘转换成...
2009/05/16 15:18 458,477 网管必备的系统设置工具.exe 2005/04/20 16:35 28,672 自动登录设置器.exe 2008/10/23 05:58 20,576 自由天空一键优化注册表.reg 2008/02/26 00:52 51,200 输入法设置工具2.76.exe 2008/01...
IceSword.exe(冰刃)——大名鼎鼎的反Rookit工具,手工杀毒必备 KillBox.exe——强制删除顽固文件 procexp.exe——增强的进程管理器,对双进程守护病毒疗效极佳 Procmon.exe——监视本机文件和注册表的变化,...
《QQ木马病毒专杀大师》是专门针对各种QQ木马病毒,各种广告间谍程序,黑客盗号程序及各种流氓软件而推出的专杀工具。马上下载,迅速还您一个真正干净的空间。相信它一定会成为您必备的安全工具!
冰刃 = IceSword 大名鼎鼎的反Rookit工具,手工杀毒必备 超级巡警工具箱 = SucopTools 类似于冰刃的手工杀毒工具 狙剑 = SnipeSword 类似于冰刃的手工杀毒工具 日志分析助手 = SREngLogA 帮助分析SREng的扫描日志 ...
IceSword.exe(冰刃)——大名鼎鼎的反Rookit工具,手工杀毒必备 KillBox.exe——强制删除顽固文件 procexp.exe——增强的进程管理器,对双进程守护病毒疗效极佳 Procmon.exe——监视本机文件和注册表的变化,...
电脑店U盘启动制作工具是目前网络上比较完善的U盘装系统、U盘启动制作工具,电脑店技术人员必备工具,一盘在手,万事无忧,别无所求! 电脑店U盘启动盘制作工具 v3.3 智能装机版更新说明: 1、为增强版03PE和WIN7...
发现金工资的财务工作者的必备工具之一。 【数字转英文】 将选中区域(默认)或已使用区域存储格的金额数字转换成英文格式显示的表达字符串,为三资企业制作客户外汇付款通知书的理想工具。 【文本转EXCEL】 将...
高手最喜爱的病毒与木马分析工具,您也可以过把高手瘾,亲自体验斩杀木马的快感。 快速响应新威胁,及时获得新防护能力 每日进行多次例行升级和针对性升级,以最快的速度将最新病毒木马的解决方案呈现给用户。 ...
CIMCOEdit 专业的五轴 与自动编程软件 是模具行业里的必备工具 可传输程序
Windows XP电脑维护工具箱是一个集系统设置、优化、修复及网络共享、安全防御、个人隐私等于一身的装机维护必备工具。该工具短小精悍,功能齐全,除常规的系统方面的维护外,更有IE主页锁定,禁止程序运行,屏蔽网址...
3.1.1 准备软件、补丁及驱动程序等 55 3.1.2 设置BISO 55 3.2 安装系统 55 3.2.1 分区 55 3.2.2 安装系统软件 55 3.3 安装驱动、补丁及应用软件 56 3.3.1 GHOST版本的系统 56 3.3.2 安装驱动 56 3.3.3 安装系统补丁 ...
发现金工资的财务工作者的必备工具之一。 【数字转英文】 将选中区域(默认)或已使用区域存储格的金额数字转换成英文格式显示的表达字符串,为三资企业制作客户外汇付款通知书的理想工具。 【文本转EXCEL】 将...
管家婆搬移工具2008++,是建立基本资料的必备工具,省事省力!用前看实用说明! 立即下载 3积分/C币时间:2011-10-19 doc文件 管家婆辉煌366和二代系列搬移工具 该工具适用于辉煌366系列v8.1版本与辉煌Ⅱ系列v8.1的...
图中我们明显的看出是上一步扫描后,系统将自动选择适合我们的的驱动程序,让系统自动寻找匹配PC硬件的驱动程序并安装; 驱动安装后,系统会识别我们的设备储存扫描,好给我备上一些日常用的软件设备; 待这...
PageView是一种可以快速,并且最直接提高网页PV的必备工具之一。通过以下四步则可以轻松增加你的网站PV,并且提高网站排名。 1.运行程序PageView.exe 2.输入相应的网页链接 3.输入刷网页次数 4.点击刷PV 完成,够...