PMA学习第一章

Practical Malware Analysis

对于第一章,主要是通过一些静态工具来对恶意程序分析。

收获:

新接触了三款重要软件:

PEBrowsePro:PE文件头的查看,不过我还是更喜欢Stud_PE。
depends.exe:导入导出表和链接库能很清楚的看出,通过这些可以初步猜测一下恶意程序的大体功能。
Resource Hacker:我觉得这个软件,目前我发现的最大的功能就是直接导出资源文件,对资源中存放可执行文件的很有用。

一个在线检测网站:

https://www.virustotal.com/zh-cn/

对课后的一些练习:

带UPX壳的,ESP定律、DUMP、修复导入导出表,成功脱下。
带FSG 1.0 -> dulek/xt的,费了一些功夫才找到OEP。
我的方法:里面有个嵌套循环,各种跳,直接找了一个点,下个断点,无限F9,记录F9次数。当跑飞时,重新开始,下次次数减1,然后再F8跟踪。
但是修复出来的程序无法运行。
资源文件中有EXE的,直接用Resource Hacker导出二进制为exe,OD看了下,应该是个下载者。

你可能感兴趣的:(PMA学习第一章)