恶意代码实战分析

第一章

恶意代码分析技术。

1.静态分析初级技术

静态分析就是检查可执行文件  但是不分析具体指令的的一些技术。静态分析可以确定一个文件是否是恶意的，提供有关其功能的信息。有时候还会提供一些信息让你能特征码够生成简单的特征码。

2.动态分析初级技术

动态分析技术涉及到运行恶意代码并且观察系统上的行为，以移除感染产生有效的特征检测码，或者两者。

3.静态分析高级技术

静态分析高级技术主要是对恶意代码内部机制的逆向工程，通过将可执行文件装载到反汇编器中，查看程序指令来查看程序到底做了什么。cpu执行的所以静态分析高级技术能告诉你程序到底做了什么。

4.动态分析高级技术

动态分析高级技术则是使用调试器检查一个恶意程序运行时刻的内部状态，动态分析高级技术提供了从可执行文件中抽取详细信息的另一条路径。

第一章 ：静态分析技术

静态分析技术就是分析程序分析程序指令与结构来确定程序功能的过程。这个过程中程序本身不在运行状态。

检测恶意代码的方法

1. 反病毒扫描引擎 如下：
   URL
   URL
   URL

2. 哈希值 ： 恶意代码的指纹

3. 查找字符串

     比如使用IDA ollydbg  等工具来查找字符串 来发现程序特征

4. 文件加壳

   当加壳文件运行的时候首先会运行一小段的脱壳程序，来解压缩加 壳的文件，然后再运行程序，所以当我们静态分析的时候，只有这一小段脱壳代码被解析。

5.PE文件

PE文件是以一个文件头开始，其中包括代码信息，应用程序类型，所需的库函数与空间要求。

6.导入函数
导入函数是一个程序所使用的但是存储在另一个程序中的函数，比如包含了对很多程序都通用的代码函数库。代码库可以通过连接方式，连接到主程序中。我们在PE文件中找到的信息取决于链接了哪些代码库。

苦逼的员工 老板让学习安卓逆向 先放这吧 开始新的征程