古語(yǔ)有云：“學(xué)如逆水行舟，不進(jìn)則退。”面對(duì)如今隨時(shí)都在變化的網(wǎng)絡(luò)安全環(huán)境更是如此。為此，創(chuàng)信華通微信公眾號(hào)特開(kāi)設(shè)“創(chuàng)安實(shí)驗(yàn)室專欄”，以記錄創(chuàng)信華通創(chuàng)安實(shí)驗(yàn)室在技術(shù)上的探索，加強(qiáng)同行間的交流，相互學(xué)習(xí)，共同進(jìn)步。

?+

快速分析技術(shù)+日志分析技術(shù)→提取特征碼+簡(jiǎn)要報(bào)告

靜態(tài)分析技術(shù)+動(dòng)態(tài)分析技術(shù)→提取特征碼+詳細(xì)分析報(bào)告+專殺工具開(kāi)發(fā)+獲取C2

1、在線反病毒引擎

2、hash獲取 certutil -hashfile 01.惡意代碼基礎(chǔ)知識(shí).exe MD5

或者用電腦自帶crc sha

 3、查找字符串 hive string ida 火絨劍

4、查殼 pied

這個(gè)是沒(méi)有殼的，什么都沒(méi)找到或者顯示其他名稱是有殼

5、導(dǎo)入導(dǎo)出函數(shù)

獲取函數(shù)地址+加載動(dòng)態(tài)鏈接庫(kù)→動(dòng)態(tài)尋找 winexec執(zhí)行

創(chuàng)建文件+寫文件+移動(dòng)文件→移動(dòng)自身，進(jìn)行隱藏

打開(kāi)進(jìn)程+創(chuàng)建遠(yuǎn)程線程→遠(yuǎn)程線程注入

尋找資源+資源尺寸+加載資源→說(shuō)明程序得資源段里面有隱藏得東西，在釋放可執(zhí)行文件

進(jìn)行權(quán)限相關(guān)得操作。懷疑是提權(quán)

下載器和啟動(dòng)器—沒(méi)有實(shí)際的惡意功能

6、獲取資源信息

dos頭+pe頭→可執(zhí)行程序，windows下的pe程序

發(fā)現(xiàn)是下載文件+執(zhí)行→下載器

 7、在線沙箱

創(chuàng)安實(shí)驗(yàn)室