当前位置:网站首页 > 技术博客 > 正文

病毒分析入门



xxxx面试过程:


问:病毒的行为一般都有哪些


答:打开文件,创建进程,注册表操作,检查有没可移动磁盘的启动。。。。。


问:你有了解过和分析过最近流行的病毒吗?


答:没有,了解过,没分析过


问:你了解过和分析过下载者相关类似的病毒吗?


答:没有了解和分析过这类的病毒


问:你分析过什么样的病毒


答:U盘自启动


问:一般的感染病毒你了解过吗


答:了解过,添加区段,修改区段大小等等


问:要是添加区段后不能运行怎么办啊


答:要修复那些PE结构相关的成员啊


问:你有分析过盗号的核心技术吗和写过盗号程序吗


答:没有自己的了解过这种技术


问:也就是你一般分析病毒就是把行为大概的看一下吗


答:是的


说:比如也就是一种TX的保护机制就这类似的机制你研究和学习过吗?


我说:哦哦


问:你一般分析病毒的流程是什么


答:打开虚拟机,拖入IDA,开打监视工具,和XueTr这种类似的工具以便查看释放出来的文件


问:你C语言和汇编语言哪种相对好一些


答:相对来说我C语言比较好一些


问:叫你写一些简单的工具你能写吗


答:能写


问:你有分析过远程控制(鸽子)类似的木马吗


答:没有


问:现在一台电脑有病毒。你能把它给找出来吗?


答:我不知道


问:病毒常用的API有哪些?


答:打开文件,打开进程,注册表操作。。。。


问:一般的什么工具你能使用哪些(说的是英语,没听懂)


答:XueTr,兵刃,PT等等


以上是我面试病毒分析的过程的一些问题,可能还有一些没有说完,总结病毒分析师需要的技能如下:


1、至少要了解病毒的行为一般都有哪些


2、病毒行为的详细过程要知道


3、一些简单的工具的开发至少要会


4、分析工具的使用至少要会


5、至少要能写一些辅助病毒分析的工具


下面是补充的病毒分析师需要的技能(自己的理解):


  首先作为一个病毒分析师需要的是了解病毒的种类,以及他们的行为特征,还需要了解他们变异后的特点,还要了解病毒常用的API,以及各类病毒专用的API,比如纯Ring3的病毒和加载驱动的病毒,它们的不同之处是加载驱动的病毒里面有着特定的行为,使用了一些专门的API,以及注册表操作等等,对于一个病毒分析师,我们需要精确的定位是不是病毒,或者是不是盗号木马,不能单靠API来判定是否为病毒,比如一个程序里面是正常使用OpenFile,但是你一看见使用了这个API,就把它定义为病毒就错误了,对于这种,我们需要写一些工具来判定它的行为特征,比如HOOK病毒调用的API,我们创建一个挂起进程的病毒,我们这时创建远程线程HOOK掉相关的API,把病毒使用的相对危险的API的参数全部记录下来,这样我们就能快速判断一般的普通病毒了,对于那些猛一点的病毒,或者破坏系统的病毒,这时我们就需要在安全的环境下分析病毒了,以免病毒破坏我们的病毒分析环境,比如你在真实机器上分析一些盗号木马,或者盗取银行账号的木马,那就比较危险了,一般我认为的病毒分析的环境是,如果是感染的病毒,我们需要开着还原系统,还原各个磁盘,一般分析比较危险的病毒这样应该足够了,对于那些破坏还原的病毒,我相信一般的病毒分析是不能分析的!


  我们还需要了解和使用常用的病毒分析工具,比如反汇编工具,和动态调试器,各种监视器,以及反Rootkit工具,一般的分析流程总结如下:


1、保护自身机器的安全,也就是还原保护


2、监视器开着,


3、反汇编工具,动态调试器


4、自己的病毒分析辅助工具


5、总结病毒的类型


6、总结病毒的行为和危害


就是需要掌握的技能了,下面的还有一些基本的技能。


  我们需要写一些辅助工具来帮助我们辅助分析病毒,下面的是Ring3的说明,当然你也可以写Ring0的工具。


1、注册表监视器,一些病毒经常注册表来对抗一些杀软或者保护自身,比如映像劫持,还有,我前面发过的注册表控制360的开关。


2、文件监视器,一些病毒比如键盘记录这种储存量比较大的东西,就要写入文件了,以及创建文件等等,


3、线程监视器,我们需要监视远程线程的创建,何时创建,何时停止,还是不停止


4、进程监视器,一些病毒经常创建进程来加载一些DLL,以及启动人家的进程。


5、网络监视器,病毒必备的工具,病毒一般得到自己需要的东西后,就发送到自己的机器上,这时我们可以写一些监视工具来辅助抓包分析,抓到的数据包分析等等,以及得到目标的IP地址,好报案等等。


6、病毒种类识别工具,病毒已经被分为很多类型了,比如特洛伊木马,文件型病毒,盗取网游的木马等等,我们的杀毒软件报毒的时候是是已经分了类的,如果我们写这样一个工具,那我们就能快速的记录下来,给编码人员,好更新病毒库


病毒的行为特征是很重要的,一个病毒是否带有破坏性,传染性,潜伏性,等等,这就需要病毒分析师的功力了,病毒比较带危害的特征是什么,可执行性,什么叫可执行性呢?就是EXE文件,一般的就是这样的病毒吧;传染性,通过各种方法来了解和确定被感染的机器和没有感染的机器;破坏性,这个就不怎么好说了,反正伤害用户利益或者破坏其他文件操作其他文件的都是这种;


潜伏性,一个病毒已经被专杀工具杀掉了,但是没有清除干净,就能起死回生;隐蔽性,病毒一般是通过隐藏自己来达到不被用户和杀软以及其他工具的发现,达到长期潜伏在系统的目的;针对性,就是针对这种操作系统,以及各种文件格式的攻击,比如Oday,和ShellCode等等,一但攻击成功,就会执行特定的代码;可触发性,某种特定的事件或者情况出现,然后病毒进行攻击。


还有一个技能就是,手动查找病毒和病毒的防范,这个暂时就不写了,需要资料的自己找找。


写到这里就完了,谢谢观看


[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

  • 上一篇: expdp使用
  • 下一篇: usb协议有哪些
  • 版权声明


    相关文章:

  • expdp使用2024-11-17 15:00:59
  • 哈夫曼树算法实现2024-11-17 15:00:59
  • lenet5卷积神经网络代码2024-11-17 15:00:59
  • opencv教程基础篇2024-11-17 15:00:59
  • 多线程编程 java2024-11-17 15:00:59
  • usb协议有哪些2024-11-17 15:00:59
  • linux dmesg日志在哪里2024-11-17 15:00:59
  • delphi7入门教程2024-11-17 15:00:59
  • c语言中的移位运算符2024-11-17 15:00:59
  • 计数排序公式2024-11-17 15:00:59