(精)CISP0207安全漏洞与恶意代码_v3.0.pptVIP

随系统启动而加载 开始菜单中的启动项 启动配置文件 注册表启动项 系统服务 组策略 …… 随文件执行加载 感染/文件捆绑 浏览器插件 修改文件关联 其他 随机进程名 每次启动生成不一样的进程名，退出后无法查找 系统进程类命名 Windows.exe System1.exe Kernel.exe 相似进程名 同名不同路径的进程 c:\windows\system32\iexplore.exe(trojan) c:\Program Files\Internet Explorer\iexplore.exe(right) 名称相近的程序 svchost.exe(right) svch0st.exe(trojan) 静态分析-常规分析 文件名分析： 程序形态特性： 文件位置特性： 文件版本特性： 文件长度特性： 文件时间特性： 数字签名： 静态分析-代码分析 格式分析： PE信息： API查看： 字符串信息： 资源信息： 样本文件格式：PE文件，脚本文件等。 PE信息分析(是否加壳、加壳类型等) API调用 附加数据分析（字符串、资源） 静态分析的特点 优点 不需要运行恶意代码，不会影响运行环境的安全 可以分析恶意代码的所有执行路径 不足 随着复杂度的提高，执行路径数量庞大，冗余路径增多，分析效率较低 恶意代码动态分析