恶意样本分析手册.pdfVIP

绿盟科技安全能力中心(SAC)

恶意样本分析手册(第一版)

■文档编号■密级内部使用

■版本编号1.0■日期2017年2月

©2017绿盟科技

■版权声明

本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属绿盟科技所有，

受到有关产权及版权法保护。任何个人、机构未经绿盟科技的书面授权许可，不得以任何方式复制或引用本文的任何片

断。

1

绿盟科技安全能力中心(SAC)

目录

准备工作8

1)Processmonitor8

2)OllyDbg10

3)WinDbg12

4)IDA18

5)WireShark22

6)PCHunter23

分析方法26

静态分析26

动态分析29

动态调试30

不同格式文件分析方法32

1)EXE（C\C++）32

2)SYS34

3)JS代码37

4)Doc37

5)Elf文件40

6)C#程序43

7)Python44

8)dll45

具体分析调试技巧47

恶意代码分析通用规则：49

反调试技术总结50

1.FindWindow50

2.枚举窗口50

3.枚举进程52

4.查看父进程是不是Explorer53

5.检测系统时钟54

6.查看StartupInfo结构55

7．BeingDebugged，NTGlobalFlag56

8.CheckRemoteDebuggerPresent56

9.NtQueryInformationProcess57

10.SetUnhandledExceptionFilter59

11．SeDebugPrivilege进程权限60

12.GuardPages61

13．软件断点63

14.硬件断点64

15．封锁键盘，鼠标输入66

16.禁用窗口66

17.ThreadHideFromDebugger67

18.OutputDebugString67

2

绿盟科技安全能力中心(SAC)

虚拟机检测69

1．VMWare69

1.1查找注册表69

1.2搜索特定程序确定是否运行在虚拟机中71

1.3通过执行特权指令72

1.4查找特定的驱动模块74

1.5CPUID74

1.6检测目标对象75

2．VirtualPC77

2.1使用非法指令：77

2.2检测设备对象78

3．VirtualBox78

3.1搜索注册表项78

4．SandBox80

4.1使用WinObj搜索目标对象80

4.2查看当前进程是否包含目标动态库80

脱壳82

0x1单步跟踪法82

0x2ESP定律法82

0x3二次断