恶意代码分析-工具收集

恶意代码分析-工具收集

恶意代码分析实战

Strings:字符串查找工具

https://docs.microsoft.com/zh-cn/sysinternals/downloads/strings

Resource Hacker工具:查看资源节内容

http://www.angusj.com

恶意软件自动化分析工具套件

恶意软件分析套件:https://github.com/Cherishao/Analysis-Tools

===================================================

文档分析工具

===================================================

JavaScript分析工具

===================================================

系统&文件监视工具

===================================================

shellcode分析工具

===================================================

网络分析工具

===================================================

URL分析工具

===================================================

SWF分析工具

===================================================

内存取证分析工具

===================================================

调试器

===================================================

反汇编工具

## 更新说明
https://www.hex-rays.com/products/ida/7.2/index.shtml
## 破解文章
作者阐述了一下对IDA安装密码的攻击方法,通过枚举多种语言默认的随机数发生器,发现了IDA生成随机数的语言和版本,继而可以利用同样的方法在10min左右可以暴力算出有效的安装密码
https://devco.re/blog/2019/06/21/operation-crack-hacking-IDA-Pro-installer-PRNG-from-an-unusual-way-en/
## 下载地址
ida pro 7.2  x64版本
安装密码
passwd :7JpT48a7Y2fv
链接:https://pan.baidu.com/s/1UqpaacGafLcPObxWOUIuDQ 
提取码:54d4
下载地址1:https://mega.nz/#!MvADFShZ!KBBhPo734cvq8s_hqerHV6_L0-hyf99LrmrSDQ6KH-U
下载地址2:https://share.weiyun.com/5Eg1MVA

===================================================

十六进制编辑器

===================================================

查壳工具

===================================================

DNS&IP信息搜集工具

===================================================

PE分析工具

===================================================

虚拟机镜像

进程监视器

ProcessMonitor是Windows系统下的高级监视工具,提供一种方式来监控注册表、文件系统、网络、进程和线程行为。

通过Filter-Filter打开过滤菜单,过滤文件行为

查找PID、针对某些特定的函数过滤,比如CreateFile、WriteFile、RegSetValue、或其他可以或者具有破坏性的调用。

进程浏览器

Process Explorer(进程浏览器)监视系统上执行的进程,以树状结构进行显示。

  • 查看进程中的DLL
  • 验证签名
  • 比较进程的字符串(内存、文件),判断有没有被内存注入
  • Find DLL功能:在磁盘上尝试发现一个恶意的DLL,并且想知道是否有运行进程使用了这个DLL,就可以进行查找。

监听某个端口-NetCat

通过ApateDNS把恶意代码请求的C2网址查询请求重定向到本机,可以在执行恶意代码前,用NetCat监听连接。

监听80端口请求:

netcat -l -p 80
posted @ 2019-01-11 12:57  17bdw  阅读(4818)  评论(0编辑  收藏  举报