小C无聊的躺在床上,刷着#开学#话题微博。
都怪这该死的疫情,开学一拖再拖,在教室后排偷看女神的机会又少了。
开学之日恐怕即是毕业之时了,小c 在失去女神背影患得患失的心情中,也不得不考虑
工作的问题。
回顾大学四年,小c所得称号最多得只有:
“召唤师峡谷黑铁战五渣,海岛雨林人体描边大师”。
以及刚好及格得c语言,一点点汇编知识,OD F2下断点,f9运行,f7步进,f8步过。IDA F5。
想着这些,小C在招聘网站筛选着合适的岗位,突然,某安全公司发布的病毒分析师岗位映入眼帘,看起来颇为合适
Emmmm.这已经是关键字匹配最多的招聘了。既然找到了方向,得深入搞一搞才行,网上找些病毒分析分析,以防面试被问懵逼。小C如是想到。
正所谓“工欲善其事必先利其器”,要分析样本之前,得把分析环境,分析工具搞好。
环境搭建
1. 搭建虚拟机环境
对于分析病毒木马,直接在系统上分析可能导致自己得电脑遭到病毒木马感染,所以一般分析需要在虚拟机中进行,这里选用VMWARE,操作系统最好选用32位得。系统镜像可在https://msdn.itellyou.cn/进行下载
虚拟机安装教程:https://jingyan.baidu.com/article/7f41ecec202013593d095c20.html
2. 工具
逆向分析常用得工具可在52pojie.cn的爱盘进行下载https://down.52pojie.cn/Tools/
也可直接选用52上有人整理好的吾爱破解工具包,但这些工具都是原作者收集整理,不保证又工具会有恶意行为等,所以最好在虚拟机中运行。
下载地址: 百度网盘:https://pan.baidu.com/s/1nwJg0eX 密码:iuj3
行为分析工具:SysTracer
下载地址:链接:https://pan.baidu.com/s/14KadlAq_vuNkLwXI_Ih_CQ
提取码:2jt7
最好在装个office用于分析文档类的样本。将这些放入虚拟机后,点击虚拟机上的时钟一个+按钮,添加一个系统快照,当分析病毒污染系统后,可用于恢复一个干净的分析环境
外部沙箱
准备好本地的分析环境后,还可以借助在线的免费沙箱协助分析
1. anyrun沙箱,app.any.run
该沙箱功能比较强大,免费注册后还支持下载样本
2. 微步在线沙箱https://s.threatbook.cn/
微步云沙箱的虚拟执行环境能够模拟 Windows 7 和 Linux 操作系统,并根据文件类型自动选择合适的运行环境。
支持的文件类型包括:PE 可执行文件(EXE、DLL、COM 等),Office 文档(DOC、XLS、PPT 等),PDF,HTML,Script,MSI,SWF,JAR,LNK ,ELF,各种压缩包(ZIP、RAR、7Z 等)。
3.奇安信云沙箱
结合多AV引擎检测、虚拟环境行为分析、威胁情报关联、自动化文件tag、启发式检测等技术,提供更精准的检测结果、更具体的威胁类别以及更直观的分析结果,可以满足多个场景下对恶意软件的检测、研判、分析需求。
学习资源
如果还没有小c厉害,不会od和ida的简单操作,可以通过一下教程学习一下
小甲鱼学OD: https://www.bilibili.com/video/av30969642
小甲鱼汇编教程:https://www.bilibili.com/video/av48833965?from=search&seid=5857416780882921639
IDA 基本使用
https://www.jianshu.com/p/3f24e285a6bc
病毒木马查杀实战: https://blog.csdn.net/ioio_jy/article/details/40708869
说在前面 原标题叫 《Spring framework 反序列化 RCE 漏洞分析》 奈何只能输入 26 个字符以下,故叫 《Spring 反序列化 RCE 漏洞分析》 相关分析漏洞是一个几年前的漏洞,并非是最近刚出的。之所以分析这个漏洞是因为笔者在梳理 fa…
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论