|
|
问:我想成为反病毒工程师 我应该怎样学习病毒分析技术喃? 需要系统地学习哪些知识? 看哪些书? 用哪些工具?
答:
一.专业病毒分析师对提交的可疑文件进行分析的流程:
1.通过虚拟机模拟可疑文件的运行,检测他的动作。
2.反编译程序,通过汇编语言判断程序的性质
3.病毒分析师需要有熟练的各种分析软件的操作能力,还需要有强的汇编言知识,还需要对windows中程序底层运行方式有一定的了解
二.病毒的行为大致上分为4种:
1.对文件的操作
2.对注册表的的操作3.对进程的操作
4.联网行为
所以,就要有分析这4种行为的工具.
三.具体分析过程
No.1 监视方法分析病毒.
分析过程中用到了大量的工具,这些工具分为专一型的,综合型的.
◆专一型的监视工具:
文件监视:FileMon
注册表监视:RegMon、Regsnap
进程监视:ProcView
网络监视:TcpView
◆ 综合型的监视工具:
SSM:文件、注册表、进程、网络监视
E盾:文件、注册表、进程、网络监视
ProcMonitor:文件、注册表、进程监视
◆ 内核分析、监视工具:
由于病毒大都会用内核方法隐藏自己,所以需要内核分析工具,常用的内核分析工具有下面的:
IceSword
SnipeSword
Gmer
Rootkit unhooker
Wsyscheck
◆ 系统辅助分析工具:
其实有很多杀毒软件附带的工具就是很好的分析工具,举几个软件说下:
Atool
ToolsLoader
360安全卫士
卡卡上网安全助手
金山清理专家
◆ 系统诊断工具:
Sreng扫描报告
360安全卫士诊断工具
卡卡上网安全助手
金山清理专家
No.2反编译、调试方法分析病毒.
这种方法需要有更多的基础知识,需要了解系统内部工作原理和汇编语言.并且工具的运用也需要很多的训练…
※ 查壳工具
Peid
FFI
※ 脱壳工具
FFI
各种壳的专用脱壳工具
※ 反编译工具
W32dasm
C32asm
IDA pro
※ 文件hash校验工具
Hash
HashCalc
※ 动态调试工具
OllyDbg
SoftIce(这个比较难用)
※ 文件编辑工具
UltraEdit
ResScope
ResHacker |
|
[复制链接]
IP卡
狗仔卡
发表于 2011-9-4 10:51
沉默卡
喧嚣卡
变色卡