感觉自己在阅读监控信息的时候有遇到一些瓶颈-看雪学苑-看雪-安全培训|安全招聘|www.kanxue.com

感觉自己在阅读监控信息的时候有遇到一些瓶颈

Student 2023-5-23 1436

提问者：FightingFly 2020-5-25

有些问题想得不是很明白..我在复盘了快速分析这块的内容后，也对虚拟机里面的十多个样本尝试进行过快速分析，非pe类确实会特征较为明显，但是对于exe类的程序，的确就像您说的那样会出现比较麻烦比较难以分析的事情，很多方面单是靠hiew还是无从下手，我后来又在网络上查找了一下相关的针对可执行程序的分析方法，他们大都选择了从行为分析和逆向工程这两者结合的方式，但是这样去细查的话，肯定是会增加了分析的耗时....想请教您一下，在比如快速分析大量的exe类程序这方面有什么可以学习的经验吗？我最近也有在练习使用火绒剑和procmon这两款行为分析工具，靠这两个来分析和抓取病毒的行为特征，来为他打上是否恶意的标签这样可以吗？如果使用这样的软件来进行行为分析的话，对于系统常见进程和注册表信息之类的内容是否还需要自己多学习掌握一些呢？感觉自己在阅读监控信息的时候有遇到一些瓶颈，好像是基础不牢的那种感觉，请问有什么可以了解的渠道或者博客吗？

1条回答

teacher 2023-5-23

根据我的实际工作经验，exe类文件一般来说是不适合做静态快速分析的，当然你可以结合相应的监控工具。主要从文件行为、注册表行为以及网络行为三方面进行研究，比如是否将自己复制到了系统目录，将自己伪装成系统文件？是否为自身添加了注册表启动项？是否一直在和某个未知网站进行通信等，这些都是可疑的行为。你可以多看看各大安全公司写的分析报告，总结流行恶意程序的特征，另外《恶意代码分析实战》这本书很不错，建议你好好研究一下，可以的话，你把其中的所有样本自己编程实现一遍，一定会收获很大的。