病毒分析快速入门01-环境搭建

  • A+

小C无聊的躺在床上,刷着#开学#话题微博。
都怪这该死的疫情,开学一拖再拖,在教室后排偷看女神的机会又少了。

开学之日恐怕即是毕业之时了,小c 在失去女神背影患得患失的心情中,也不得不考虑
工作的问题。
回顾大学四年,小c所得称号最多得只有:
“召唤师峡谷黑铁战五渣,海岛雨林人体描边大师”。

以及刚好及格得c语言,一点点汇编知识,OD F2下断点,f9运行,f7步进,f8步过。IDA F5。
想着这些,小C在招聘网站筛选着合适的岗位,突然,某安全公司发布的病毒分析师岗位映入眼帘,看起来颇为合适

1.png

Emmmm.这已经是关键字匹配最多的招聘了。既然找到了方向,得深入搞一搞才行,网上找些病毒分析分析,以防面试被问懵逼。小C如是想到。
正所谓“工欲善其事必先利其器”,要分析样本之前,得把分析环境,分析工具搞好。

环境搭建

1. 搭建虚拟机环境

对于分析病毒木马,直接在系统上分析可能导致自己得电脑遭到病毒木马感染,所以一般分析需要在虚拟机中进行,这里选用VMWARE,操作系统最好选用32位得。系统镜像可在https://msdn.itellyou.cn/进行下载

2.png

虚拟机安装教程:https://jingyan.baidu.com/article/7f41ecec202013593d095c20.html

2. 工具

逆向分析常用得工具可在52pojie.cn的爱盘进行下载https://down.52pojie.cn/Tools/

3.png
也可直接选用52上有人整理好的吾爱破解工具包,但这些工具都是原作者收集整理,不保证又工具会有恶意行为等,所以最好在虚拟机中运行。

4.png
下载地址: 百度网盘:https://pan.baidu.com/s/1nwJg0eX 密码:iuj3

行为分析工具:SysTracer

下载地址:链接:https://pan.baidu.com/s/14KadlAq_vuNkLwXI_Ih_CQ
提取码:2jt7

最好在装个office用于分析文档类的样本。将这些放入虚拟机后,点击虚拟机上的时钟一个+按钮,添加一个系统快照,当分析病毒污染系统后,可用于恢复一个干净的分析环境

6.png

外部沙箱

准备好本地的分析环境后,还可以借助在线的免费沙箱协助分析

1. anyrun沙箱,app.any.run

该沙箱功能比较强大,免费注册后还支持下载样本

7.png

2. 微步在线沙箱https://s.threatbook.cn/

微步云沙箱的虚拟执行环境能够模拟 Windows 7 和 Linux 操作系统,并根据文件类型自动选择合适的运行环境。
支持的文件类型包括:PE 可执行文件(EXE、DLL、COM 等),Office 文档(DOC、XLS、PPT 等),PDF,HTML,Script,MSI,SWF,JAR,LNK ,ELF,各种压缩包(ZIP、RAR、7Z 等)。

8.png

3.奇安信云沙箱

结合多AV引擎检测、虚拟环境行为分析、威胁情报关联、自动化文件tag、启发式检测等技术,提供更精准的检测结果、更具体的威胁类别以及更直观的分析结果,可以满足多个场景下对恶意软件的检测、研判、分析需求。

9.png

学习资源

如果还没有小c厉害,不会od和ida的简单操作,可以通过一下教程学习一下
小甲鱼学OD: https://www.bilibili.com/video/av30969642
小甲鱼汇编教程:https://www.bilibili.com/video/av48833965?from=search&seid=5857416780882921639
IDA 基本使用
https://www.jianshu.com/p/3f24e285a6bc
病毒木马查杀实战: https://blog.csdn.net/ioio_jy/article/details/40708869

相关推荐: Spring 反序列化 RCE 漏洞分析

说在前面 原标题叫 《Spring framework 反序列化 RCE 漏洞分析》 奈何只能输入 26 个字符以下,故叫 《Spring 反序列化 RCE 漏洞分析》 相关分析漏洞是一个几年前的漏洞,并非是最近刚出的。之所以分析这个漏洞是因为笔者在梳理 fa…