漏洞挖掘-静态分析实验笔记

http://www.ichunqiu.com/course/145

实验工具：

peid   查壳的工具，主要是pe的结构

strings  用于查看目标文件中有哪些可以打印的字符

例如：

strings  xxx.exe               //查看有哪些可打印的字符

petools   查看pe结构

virscan  在线查毒工具

free upx  用于脱upx的壳

linxerunpacker  通用的脱壳工具

resource hacker  可以将目标程序中的资源提取出来

实验思路：

1.利用网络扫描工具对目标程序进行扫描

2.利用本地静态分析工具分析目标程序

3.提取资源中的内容

实验步骤：

1.使用在线扫描工具进行扫描（使用的是virscan）

2.使用peid查看是否加壳

发现没有加壳，用vc++编写的

3.使用petools查看文件编写时间

很明显时间被作者修改过

4.看一下导入了哪些函数（使用peid）

以下这几个函数是病毒经常调用的函数，createfile用于文件的创建，writefile用于文件的写入，winexec可以用于执行一个文件

findresource和sizeofresource是关于资源的函数，也要引起注意

有一个getwindowsdirectory这个api函数，此函数可以获得windows目录，恶意程序可能会通过此函数将自身复制到系统目录下

在advapi32.dll中的那三个函数可以用来提升权限

5.查看有哪些行为

可能会进行网络通信

6.提取资源

大概看一下可以知道应该是PE文件

将他保存为二进制文件

使用petools具体查看是哪种PE文件（PE文件分为两种：exe和dll）

将新生成的二进制文件拖到petools里然后查看文件头

看到dll没有打勾说明是exe文件

相关链接：http://bbs.ichunqiu.com/thread-8978-1-1.html?from=csdnJG