【恶意代码分析】【第一章】静态分析基础技术
一、加壳脱壳
可以使用PEiD检测加壳。
PE文件格式
可移植执行(PE)文件格式是Windows可执行文件、对象代码和DLL所使用的标准格式。
PE文件其实是一种数据结构。
1.1 加壳后的特征
1、合法程序往往包含较多的字符串,而加壳或混淆后直接分析得到的可打印字符串则很少。
2、加壳/混淆后代码至少包含LoadLibray和GetProcAddress函数,用来加载和使用其他函数。
1.2 使用 Dependency Walker工具探索动态链接函数
有了计划记得推动,不要原地踏步。