当前位置:主页 > 资料 >

如何开始学习逆向以及分析恶意软件?
栏目分类:资料   发布日期:2018-08-02   浏览次数:

导读:本文为去找网小编(www.7zhao.net)为您推荐的如何开始学习逆向以及分析恶意软件?,希望对您有所帮助,谢谢! 许多人都问我是如何开始学习逆向以及成为病毒分析师的,有什么好的学习

本文为去找网小编(www.7zhao.net)为您推荐的如何开始学习逆向以及分析恶意软件?,希望对您有所帮助,谢谢!

www.7zhao.net



许多人都问我是如何开始学习逆向以及成为病毒分析师的,有什么好的学习资料可以推荐等等这样的问题。为了解答大家的疑问,在本文中我将为初学者提供一些自己的学习经验以及一些实用的链接资源。逆向工程涉猎的范围非常的广泛,你可以针对各种平台各种类型的软件进行逆向,也可以对硬件进行逆向。但在本文中,我将主要关注Windows上恶意软件分析所需的技能。 去找(www.7zhao.net欢迎您

工具 & 环境

为了避免感染自己的主机,首先我们需要准备一个安装了所有恶意软件分析所需工具的隔离虚拟环境,你可以在其中部署恶意软件样本并对其进行分析。更多细节请参阅:

内容来自www.7zhao.net

本文来自去找www.7zhao.net

内容来自www.7zhao.net

本文来自去找www.7zhao.net

去找(www.7zhao.net欢迎您

工具学习

在日常的工作中你将会频繁的用到一些调试和反汇编工具,例如 ,OllyDbg(或其某些衍生产品,如 ), ,以及非常实用先进的 ,虽然它的用户界面并不友好,但也非常值得大家去学习,但对于初学者而言我并不建议一开始就去接触它。以下是一些相关工具使用的指导课程:

www.7zhao.net

– learn OllyDbg (虽然有点老了,但非常实用)

www.7zhao.net

on IDA ProS D  欢迎访问www.7zhao.net

去找(www.7zhao.net欢迎您

如何获取恶意软件样本,情报等?

如果你是一个初学者并且也不是任何社区的成员,那么你可以在这里免费找到精心分类且最新的恶意软件样本:

去找(www.7zhao.net欢迎您

www.7zhao.net

copyright www.7zhao.net

你还可以从一些免费在线沙箱和开放存储库中下载它们,例如:

www.7zhao.net

内容来自www.7zhao.net

copyright www.7zhao.net

对于威胁情报,有关爆发的信息,以及新鲜样本的哈希等,我建议你加入twitter并关注你熟悉的一些研究人员。

内容来自www.7zhao.net

随着你变得熟练和上手,我建议你可以加入以下这个社区:

去找(www.7zhao.net欢迎您

本文来自去找www.7zhao.net

练习

逆向是一种只有通过多学多练才能掌握的技能,因此我建议你直接开始练习。刚开始你可以按照练习说明逐步进行。

内容来自www.7zhao.net

欢迎访问www.7zhao.net

欢迎访问www.7zhao.net

+ list of 

本文来自去找www.7zhao.net

– 各种crackmes帮助你练习逆向 www.7zhao.net

你也可以阅读 。其中包含了各种难度层次的逆向工程任务,这对于提高你的能力有极大的帮助。 本文来自去找www.7zhao.net

底层学习

逆向本地应用还需要你对一些底层概念有基本的了解。如果你专注于Windows恶意软件(就像我一样),那么你大部分的时间都会在处理PE文件。当你在调试器下观察应用程序时,你会以反汇编的形式看到它 – 转换为汇编语言(汇编程序)。因此,你知道的汇编程序,PE结构和操作系统越多,你就越容易理解。 和 是有关x86汇编的一些介绍教程。想要更深入的了解并掌握其它平台汇编,请参阅此免费书籍。 欢迎访问www.7zhao.net

学习PE格式,我建议你阅读Matt Pietrek和Ange Albertini的相关文章( ,  )。使用 查看各种可执行文件,并将其与你阅读的格式进行比较。 欢迎访问www.7zhao.net

基本代码理解

并非所有的恶意软件分析师都是熟练的程序员,但你需要掌握一些基本的技能,至少能够理解代码。你理解的越透彻,对你就越有利。如果你对代码编程足够熟悉,你甚至可以自己来编写一些工具来辅助你的分析任务。

copyright www.7zhao.net

www.7zhao.net

恶意软件解包

恶意软件通常都是打包的,为了分析核心,你必须从外部保护层打开它。

内容来自www.7zhao.net

本文解释了这个概念: 内容来自www.7zhao.net

copyright www.7zhao.net

我的关于恶意软件解包的视频教程如下:

欢迎访问www.7zhao.net

去找(www.7zhao.net欢迎您

看不到?点

www.7zhao.net

恶意软件注入方法

大多数恶意软件会在其他进程中注入代码。注入的一般目的是:伪装其他应用程序以及hooking。使用的方法各式各样,最流行的是Process Hollowing(又名RunPE)和Reflective DLL注入。 copyright www.7zhao.net

copyright www.7zhao.net

本文来自去找www.7zhao.net

Hooking

Hooking技术无论对安全软件还是恶意软件都是十分关键的一项技术,其本质就是劫持函数调用。例如:监控应用程序,拦截正在发送的数据等。另一方面, 。

欢迎访问www.7zhao.net

hooking是如何工作的: 去找(www.7zhao.net欢迎您

“Inline Hooking for programmers” (by MalwareTech) – and  

欢迎访问www.7zhao.net

一个简单的userland rootkit如何利用hooking:

内容来自www.7zhao.net

本文来自去找www.7zhao.net

内核模式恶意软件

大多数恶意软件都在userland中运行。但是,你可能也会不时碰到一些内核模式的恶意软件模块。对于这类恶意软件逆向起来非常困难,并且需要不同的环境设置。 www.7zhao.net

设置用于在内核模式下分析恶意软件的环境,你可以遵循我在Windows内核利用实践中描述的步骤进行: 内容来自www.7zhao.net

去找(www.7zhao.net欢迎您

以下,是一个非常好的关于逆向内核的PDF文档推荐给大家:

欢迎访问www.7zhao.net

www.7zhao.net

有关更多信息,请参阅: 本文来自去找www.7zhao.net

内容来自www.7zhao.net

去找(www.7zhao.net欢迎您

欢迎访问www.7zhao.net

内容来自www.7zhao.net

课程

 – Reverse Engineering for beginners

本文来自去找www.7zhao.net

Reverse Engineering Malware and  – by MalwareUnicorn

copyright www.7zhao.net

copyright www.7zhao.net

www.7zhao.net

– Practical Malware Analysis 去找(www.7zhao.net欢迎您

YouTube 频道

欢迎访问www.7zhao.net

去找(www.7zhao.net欢迎您

内容来自www.7zhao.net

本文来自去找www.7zhao.net

Tips & ideas

本文来自去找www.7zhao.net

本文来自去找www.7zhao.net

内容来自www.7zhao.net

如何获得一份恶意软件分析师的工作?

根据我的经验,最好的方法是在社区中做出贡献。积极主动开始自己的研究,并展现自己的热情,分享你学到的东西。在twitter上有一个非常友好的研究人员社区,它帮助我在这个领域找到了好几份工作。因此,如果你还没有加入,那么我强烈建议你加入到我们的队伍当中。

内容来自www.7zhao.net

感谢大家的信任与支持!谢谢!

www.7zhao.net

  *参考来源: FB小编 secist 编译,转载请注明来自FreeBuf.COM 内容来自www.7zhao.net

内容来自www.7zhao.net


本文原文地址:http://www.freebuf.com/articles/rookie/178382.html

以上为如何开始学习逆向以及分析恶意软件?文章的全部内容,若您也有好的文章,欢迎与我们分享!

www.7zhao.net

Copyright ©2008-2017去找网版权所有   皖ICP备12002049号-2 皖公网安备 34088102000435号   关于我们|联系我们| 免责声明|友情链接|网站地图|手机版