惡意樣本基礎(chǔ)分析技巧

當(dāng)服務(wù)器發(fā)生病毒入侵，使用殺毒軟件檢測到一個惡意程序，你刪除了它。但是過了幾天又發(fā)生了同樣的安全事件，很顯然惡意程序被沒有被清除干凈。我們需要知道這個惡意代碼到底做了什么，如何進行有效檢測，才能進一步消除它帶來的影響。

本文主要通過幾個簡單的步驟，分享惡意樣本分析的基本方法。

1、多引擎在線病毒掃描

找到了一個惡意樣本程序，通過多病毒引擎進行安全掃描，可以幫助你判斷文件是否為惡意程序。

VirSCAN：免費多引擎在線病毒掃描1.02版，支持47個殺毒引擎。

https://www.virscan.org/

VirusTotal：一個在線多殺毒引擎掃描的網(wǎng)站，使用70多種防病毒掃描程序進行檢測。

https://www.virustotal.com/gui/

2、文件哈希值

文件哈希值是惡意代碼的指紋，通過它用來確認(rèn)文件是否被篡改，也可以通過HASH值查找惡意樣本，一般我們也可以使用多種哈希驗證文件的唯一性。

3、查找字符串

通過對程序中的字符串進行搜索，從而獲取程序功能提示。

Strings:

https://docs.microsoft.com/en-us/sysinternals/downloads/strings

4、病毒查殼

使用PEiD檢測加殼，脫殼過程往往是很復(fù)雜的。

5、PE文件頭

PE文件頭包含了很多比較有用的信息，比如導(dǎo)入/導(dǎo)出函數(shù)、時間戳、資源節(jié)等信息。可通過獲取關(guān)鍵信息，來猜測惡意代碼的功能。

6、云沙箱分析

將惡意樣本上傳到微步云沙箱，通過威脅情報、靜態(tài)和動態(tài)行為分析，以發(fā)現(xiàn)惡意程序存在的異常。

微步云沙箱：

https://s.threatbook.cn/

7、動態(tài)行為分析

通過火絨劍對文件行為、注冊表行為、進程行為、網(wǎng)絡(luò)行為進行分析，捕獲惡意樣本特征。