【第6讲】软件的简单分析【中级】.docVIP

【第6讲】软件的简单分析【中级】 前面几讲给大家介绍了计算机的一些基本知识，给大家详细讲解了与软件加马知识联系紧密的文件、注册表、端口等知识，上一讲让大家安装了虚拟机和备份了系统，所有这些都是为以后讲解软件加马分析打基础的，这一讲我们将拿网络上真实的软件给大家讲解分析（霏凡阿青），当然使用的是最初级简单的方法，希望大家认真学习这一讲内容，学会这种方法的思路、步骤，并自己从网上找一些这样的软件自己分析测试一下，以便提高自己的经验和水平。????????当我们拿到一个软件或者文件如何简单知道它是否含有木马病毒或者可疑行为？????????一、提前安装虚拟机或者给目前系统做一个ghost系统备份我们强烈要求想学习这节课内容或者想深入学习加马分析的学员先安装虚拟机，实在安装不了的那也需要用ghost软件作个系统备份，以防止意外事情发生，因为我们不想大家在无意中运行了这些程序，造成学员们不必要的损失（霏凡阿青）。安装虚拟机软件请到置顶的软件加马分析培训工具帖子中寻找下载，同时参照上一讲内容进行安装、使用。【第5讲】安装虚拟机并备份系统【基础】 /read.php?tid=1667181????????虚拟机可以在你的windows里建立一个（多个）虚拟的电脑，你可以象使用普通pc那样给他安装系统，安装软件，添加“硬盘（虚拟）” 可以完全利用既有的硬件配置。在虚拟PC里的任何变动不会影响现有的系统 。这样可以有效的保护我们的正常系统在分析木马病毒时不受这些有害文件的损害（霏凡阿 青），造成不必要的麻烦。如果不是在虚拟机系统或者没对正常系统做过备份而进行软件加马培训学习，造成的一切损失和影响，我们概不负责，由学员自己承担一切后果。 二、检查文件的制作、加壳、压缩类型????????首先简单介绍一下壳，具体加壳脱壳方面的知识由制壳高手 海风月影 详细给大家讲解（霏凡阿青）。借用风飘雪的说法：壳就是作者编好软件后，编译成exe可执行文件1.有一些版权信息需要保护起来，不想让别人随便改动，如作者的姓名、公司等2.需要把程序搞的小一点，从而方便使用，于是需要用到一些软件，他们能将exe可执行文件压缩，实现上述两个功能，这些软件称为加壳软件。它不同于一般的winzip、winrar、7Z等压缩软件。加壳软件是压缩exe可执行文件的，压缩后的文件可以直接运行。最常见的加壳软件ASPACK 、acpr、aspr、UPX、***、北斗、围护等等。????????文件的制作类型是指原始文件是用什么高级语言或者软件制作而成。一般文件的制作、加壳、压缩类型直接用我们第3讲讲解的PEID软件就可以检测出来（霏凡阿青），比如如果用VB语言编写的文件，检测显示就是Microsoft Visual Basic；Delphi语言编写的文件，检测显示就是Borland Delphi；VC编写的显示就是Microsoft Visual C++等等。????????这里需要大家记住几个制作压缩软件检测标志：????????1、如果用winrar自解压做出的exe文件，用PEID检测一般EP区段为UPX，检测出的结果最后会有RAR SFX的字样（霏凡阿青），熟悉winrar加压解压的学员一定能看出SFX就是压缩件的自解压模版。????????????2、如果用upx压缩的exe文件，用PEID检测一般EP区段为text，检测出的结果有UPX的字样。????????????3、如果用innosetup打包软件做出的exe文件，用PEID检测一般EP区段为CODE，检测出的结果会有Inno或者Borland Delphi的字样，熟悉innosetup打包软件的学员一定能看出CODE就是inno打包时经常用到的Pascal脚本段。????????????4、如果用NSIS打包软件做出的exe文件，用PEID检测一般EP区段为text，检测出的结果最后会有Nullsoft PiMP SFX的字样。 三、用相应的软件解压解壳????????如果用PEID检测是VB、VC等软件制作基本上不用对文件解压解壳就可以分析了，如果用PEID检测有压缩有壳，则需要用相应的软件进行解压解壳。比如检测有RAR SFX的字样用右键winrar软件即可解开（霏凡阿青）；有Nullsoft PiMP SFX的字样用右键7Z软件解开；PE区段为CODE用innounp解开，其它的如果检测出有UPX/ASPACK/北斗等壳，用专用或者通用脱壳机解开。关于软件的解包、解压、解壳问题以后会给大家详细介绍，大家别急。 四、使用记事本简单分析文件????????这节课我们就用绿色下载站 /里提供的摄像头录像精灵V3.0软件为例子，使用记事本检测分