【持续项目】恶意代码分析的工具
1、前言
近期在分析病毒式,频繁搜索相关的资料与病毒分析规范 、流程、步骤,从中也收获了一下看起来很酷炫的分析工具。
2、集成环境类
- FLARE VM:能够分析Windows恶意软件的虚拟机
这一个集成工具是国外知名的反病毒厂商FireEye所开源出来的一个项目集成环境,遗憾的是我通过文章中提到的Boxstarter.WebLaunch.application进行下载,网址都打开缓慢,下载速度太慢了。
-
- 【中文】FLARE VM:能够分析Windows恶意软件的虚拟机
http://bobao.360.cn/learning/detail/4179.html
- 【中文】FLARE VM:能够分析Windows恶意软件的虚拟机
-
- 【英文】FLARE VM: The Windows Malware Analysis Distribution You’ve Always Needed!
http://www.fireeye.com/blog/threat-research/2017/07/flare-vm-the-windows-malware.html
- 【英文】FLARE VM: The Windows Malware Analysis Distribution You’ve Always Needed!
-
恶意软件分析工具Assemblyline 加拿大通信安全局将其开源
加大拿通信安全局恶意软件分析工具集,大部分是Python写得,值得学习和研究。感谢微信群里同事分享,还未来得及测试。
-
- 【中文】加拿大电子情报机构公开发布开源恶意软件分析工具 Assemblyline 代码
http://hackernews.cc/archives/16038
- 【中文】加拿大电子情报机构公开发布开源恶意软件分析工具 Assemblyline 代码
-
- 【英文】Canada's 'Super Secret Spy Agency' Is Releasing a Malware-Fighting Tool To the Public
https://news.slashdot.org/story/17/10/19/1837236/canadas-super-secret-spy-agency-is-releasing-a-malware-fighting-tool-to-the-public
- 【英文】Canada's 'Super Secret Spy Agency' Is Releasing a Malware-Fighting Tool To the Public
3、小型工具
- Dependency Walker-查看引用DLL、导出表函数
在群里看到有人问“在windows xp里面要获取系统api函数的地址要怎么做呢,找到msvcrt.dll这个dll中system()函数的地址”,按照我的理解就是获取DLL的导出函数。然后群里菊苣推荐了一款工具DependencyWalker。查了一下还挺强大,可以收纳作为后宫备用工具一枚。
-
- 1)看看DLL里有多少函数
在程序左侧的树状栏中就列出了这个DLL使用了哪些其他DLL的功能函数
-
- 2)EXE究竟用了哪个DLL
通过树状列表,还能分析出很多别的信息。比如其中包含MFC42.dll,所以可以判断程序是采用VC(即Visual C++)编写的,而包含WSOCK32.dll则说明这个程序带有网络通讯功能。
- SpyStudio
一款我从FLARE VM工具集中抠出来的工具,用来监视和显示用户应用程序和服务程序中的Windows API调用的软件。除了追踪API调用,能追踪注册表、创建的文件。对比前后两次的结果,整体结果看起来比较直观!
