-
VirusTotal
通过在VirusTotal平台上上传一个文件,并将其与多个引病软件的检测结果相对应,以此来确定该样本是否有害。这种过程也可以提供有关该文件的信息,如SHA256、MD5哈希值,文件大小,签名信息,节段信息,函数调用列表等。
如果无法上传样本到VirusTotal平台上,那么该平台也提供了一个选项,即查询已有的样本,方法是使用你的样本的哈希值来在网站中进行搜索。
请注意:如果将包含公司敏感信息的恶意代码样本上传到VirusTotal,可能会导致公司面临安全风险。如果数据泄露,第三方可以利用网站上的搜索功能来找到并利用这些信息。 -
字符串分析
字符串分析是从二进制数据中提取可读的ASCII和Unicode字符的过程。并不是所有的字符串都被使用;攻击者可能也会包含假字符串以干扰调查和分析。用于字符串分析的工具包括:
- Strings2命令行工具,Windows32位/64位可执行文件,用于从二进制数据中提取字符串。这是一个改进版的经典Sysinternals strings方法,可以将字符串dump到过程地址空间中。在写作时,可以从以下链接下载Strings2:GitHub - glmcdona/strings2: strings2: An improved strings extraction tool.
- Flare-Floss(混淆字符串解码器)- 将不同技术组合起来,自动化了string解码。写作时,可从以下链接下载Floss工具:GitHub - mandiant/flare-floss: FLARE Obfuscated String Solver - Automatically extract obfuscated strings from malware.
请注意:某些工具在分析中需要指定要提取的字符串类型,因为它们不同时支持ASCII和Unicode格式。
-
PEiD工具
PEiD是一种用于分析PE头以便为分析员提供有关可加密程序、打包器和编译器在可执行文件中发现的更多详细信息的工具。PEiD通过使用存储在应用程序中的静态签名来实现此识别。在以下示例中,未打包的样本熵值非常低。PEiD工具可以检测从名为“userdb”的配置文件中加载的超过500个签名定义。
PEiD-0.95-20081103.zip (389.0 KB) -
CFF Explorer
CFF Explorer是用于Windows OS的常用工具,用于在PE内部进行修改。它还可以列出进程或将进程dump到文件中。通过使用这个工具,分析师可以从恶意软件样本中提取编译日期和架构类型,这些信息基于PE头部内的信息呈现。
通过分析节头类别,分析师可以确定恶意软件是否被打包。打包程序倾向于将节名从常规名称(.text, .data, .rsrc, 等)更改为其他名称,如UPX1等。
CFF Explorer的功能列表包括:进程查看器、十六进制编辑器、驱动程序查看器、PE和内存捕捉工具等。其中,PE和内存捕捉工具可以捕获 PE 文件或进程中的内存数据,而PE完整性检查用于验证 PE 文件的完整性。
ExplorerSuite.exe (3.4 MB) -
Resource Hacker
Resource Hacker是一款免费应用程序,可以用于从Windows二进制文件中提取、修改或添加资源(如图像、对话框、菜单等)。
使用Resource Hacker可以帮助分析含有额外PE文件在资源中的释放样本。这款工具也可以通过命令行访问,而不必打开GUI界面。
resource_hacker.zip (3.2 MB) -
PeStudio
PeStudio 是一种用于在可执行文件中查找可疑工件的工具,可加速初始恶意软件评估。通过使用此工具,分析师可以轻松发现恶意软件创建者通常用于恶意活动的功能。
当分析师在程序中打开恶意样本时,将获得有关该文件的一般信息,例如 MD5 哈希和熵。然后在 VirusTotal 上检查样本的哈希值,并在程序中列出查找结果。
在Section选项卡中,分析师可以看到每个部分的 MD5 哈希、熵值和入口点地址(进程开始执行的地址),以及每个部分的读取、写入和/或执行权限。如果“.rsrc”部分异常大,应用程序可能会在磁盘上“放置”另一个文件。在这种情况下,建议分析师在运行时分析期间密切关注写入磁盘的文件。
Import sections包含导入的函数名称。通过在MSDN.microsoft.com上搜索每个函数,分析师可以确定该函数正在做什么。PeStudio 有一个“黑名单”导入列表,其中列出了可用于恶意活动的所有导入。
Exports section显示 PE 文件导出以供其他 PE 文件使用的函数。
resources section通常存储 UI 信息(图标或自定义窗口元素)。如果恶意应用程序具有dropper功能,则写入磁盘的文件可以存储在.rsrc部分中。
tls-callback部分包含设置环境的代码,以便应用程序可以运行。此代码将在入口点之前执行。使用此功能,恶意软件创建者可以将代码隐藏在 TLS(线程本地存储)中,该代码将在 Windows 操作系统创建进程之前执行。
strings section也是分析师的有用信息来源。可执行文件中的所有字符串都经过解析并放置在此部分中。在检查strings section时,分析师试图识别可读字符串,例如 IP 和 URL,以及可在调查期间使用的文件名。当可读字符数减少时,应用程序可能会被加壳或混淆。
分析恶意软件时的另一个重要区域是certificate section,其中包含用于签署应用程序的证书。通常,恶意应用程序未签名或使用来自不受信任或已被泄露的证书颁发机构的证书。
PeStudio工具还可以为正在分析的可执行文件创建和导出 XML 报告。XML 输出报告可供第三方分析工具进一步分析。
PeStudio可以通过 https://www.winitor.com 访问下载。