恶意程序分析方法-精正检测技术

恶意程序分析的主要目的是识别、分析和消除计算机系统中的恶意软件，以保护用户的数据和隐私。

一、恶意软件的识别

1.特征码识别：通过检测恶意软件的特征码，如文件签名、哈希值等，快速识别恶意软件。

2.行为识别：通过观察恶意软件在系统中的行为，如自我复制、修改系统配置等，判断恶意软件的存在。

3.恶意文件类型识别：针对常见的恶意文件类型，如脚本文件、可执行文件等，进行专门的识别。

二、恶意软件的分析

1.静态分析：通过对恶意软件的代码进行静态分析，了解其功能、原理和潜在威胁。

2.动态分析：在虚拟环境中运行恶意软件，观察其行为，以更深入地了解其危害性。

3.代码级分析：运用逆向工程技术，对恶意软件的代码进行深入分析，揭示其设计思路和实现细节。

三、恶意软件的处理

1.清除恶意软件：采用专业工具和技术，清除计算机系统中的恶意软件。

2.数据恢复：对于被恶意软件破坏的数据，进行修复和恢复。

3.系统修复：对恶意软件造成的系统损坏进行修复，恢复系统正常运行。

四、恶意软件的预防

1.安全意识教育：提高用户对网络安全的认识，增强防范意识。

2.安全软件防护：安装专业的安全软件，如杀毒软件、防火墙等，实时保护计算机系统。

3.系统更新与维护：定期更新操作系统和软件，修复安全漏洞。

4.数据备份：定期备份重要数据，以防数据丢失或损坏。

实际例子：

简单分析

高速分析技术结合日志分析技术，实现对数据特征码的提取以及生成简要报告。

详细分析

结合静态分析技术与动态分析技术，可实现对恶意代码的深入剖析。通过提取特征码、详细分析报告，以及专杀工具的开发，最终获取C2恶意代码分析成果。

1、在线反病毒引擎

2、hash获取 certutil -hashfile 01.恶意代码基础知识.exe MD5

或电脑自带的CRC校验和SHA算法，可以有效地保障数据传输和存储的可靠性。

 3、查找字符串 hive string ida 火绒剑

4、查壳 pied

该项并无外壳，若未能找到或显示其他名称，则可视为有外壳。

5、导入导出函数

获取函数地址及加载动态链接库，实现动态寻找winexec执行途径。创建、写入及移动文件，实现自身隐蔽。开启进程、创建远程线程，实施远程线程注入。搜寻资源、确认资源尺寸并加载资源，揭示程序资源段内隐藏信息。在释放可执行文件时完成整个过程。

执行权限相关操作。疑为权限提升。

下载器和启动器——并无实质恶意功能

6、获取资源信息

  在Windows操作系统中，可执行程序主要由DOS头部与PE头部组成，这两个部分共同构成了PE程序的基本结构。

确认为下载文件并执行，进而识别出下载器。