PMA学习第一章

Practical Malware Analysis

对于第一章，主要是通过一些静态工具来对恶意程序分析。

收获：

新接触了三款重要软件：

PEBrowsePro：PE文件头的查看，不过我还是更喜欢Stud_PE。
depends.exe：导入导出表和链接库能很清楚的看出，通过这些可以初步猜测一下恶意程序的大体功能。
Resource Hacker：我觉得这个软件，目前我发现的最大的功能就是直接导出资源文件，对资源中存放可执行文件的很有用。

一个在线检测网站：

https://www.virustotal.com/zh-cn/

对课后的一些练习：

带UPX壳的，ESP定律、DUMP、修复导入导出表，成功脱下。
带FSG 1.0 -> dulek/xt的，费了一些功夫才找到OEP。
我的方法：里面有个嵌套循环，各种跳，直接找了一个点，下个断点，无限F9，记录F9次数。当跑飞时，重新开始，下次次数减1，然后再F8跟踪。
但是修复出来的程序无法运行。
资源文件中有EXE的，直接用Resource Hacker导出二进制为exe，OD看了下，应该是个下载者。