基础技能
x86汇编
王爽老师的《汇编语言》
x64汇编
https://bbs.pediy.com/thread-43967.htm
https://bbs.pediy.com/thread-44078.htm
https://bbs.pediy.com/thread-206780.htm
ARM汇编/MIPS汇编/其他汇编
ARM、MIPS架构的恶意样本
编程基础
C/C++
《C++ Primer》
《C++反汇编与逆向分析技术揭秘》
C#
分析高级的C#样本
Python
JavaScript
试js脚本可通过浏览器F12自带的控制台
Powershell
VBS/VBA
VBS是基于Visual Basic的脚本语言。vbs脚本由wscript加载执行。
VBA是嵌入在office宏中的VBS代码,需要依赖office执行。
autoit
Autoit是一种类似BASIC的脚本语言,常用于自动化变成和批量管理。
编译器识别
不同的编译器所生成的代码大相径庭。为了在分析的时候能够更快的定位到关键代码,避免分析到库函数或者框架中,我们需要熟悉不同编译器生成样本的结构,最简单的方法就是使用不同的编译器编译出样本,然后分别去分析,查找自己写的代码,久而久之,在遇到不同编译器生成的恶意样本时,就能快速定位到恶意代码了。
文件结构
PE文件结构
《WindowsPE权威指南》
https://bbs.pediy.com/thread-121488.htm
ELF文件结构
https://bbs.pediy.com/thread-261349.htm
Office文档结构
https://www.decalage.info/files/THC17_Lagadec_Macro_Pest_Control2.pdf
LNK文件结构
https://bbs.pediy.com/thread-260953.htm
样本类型
商业木马
网银木马
勒索病毒
僵尸网络
捆绑广告
APT样本
开源工具
Trojan 木马病毒
TrojanDownloader 下载者木马
TrojanSpy 盗号木马
TrojanDropper 释放器木马
TrojanClicker 点击器木马
TrojanProxy 代理木马
Backdoor 后门病毒
Worm 蠕虫病毒。
Virus 感染型病毒
Rootkit 内核后门病毒
Bootkit 引导后门病毒
OMacro 宏病毒
DOC 恶意文档。
Adware 广告程序
Constructor 病毒生成器
HackTool 黑客工具
VirTool 代码混淆器
Exploit 漏洞攻击程序
Joke 玩笑程序
TEST 引擎测试程序
流量分析
Socket、FTP、SMTP、HTTP/HTTPS、DNS各种协议
常用技术
注入技术
全局钩子注入、远线程注入、傀儡进程注入、APC注入
持久化技术
启动目录
用户启动目录、系统启动目录
注册表持久化
Run
Runonce
Userinit
Load
AutoRun
计划任务
服务持久化
提权技术
BypassUAC、漏洞提权
启动技术
CreateProcess、CreateThread、Winexec、ShellExecute、内存解密加载
进程隐藏技术
傀儡进程、dll劫持、进程伪装、Hook ZwQuerySystemInformation实现进程隐藏
信息收集技术
文件遍历筛选
桌面截屏
音频录制
账号密码窃取
u盘监控
文件监控
键盘监听
痕迹清理
样本自删除
代码混淆技术
公共壳、私有壳、花指令、流程混淆、其他
反检测技术
反沙箱、反虚拟机、反调试(终止型反调试 误导型反调试)
恶意代码检测
样本特征
yara规则
流量特征
snort规则,Samhain规则
日志特征
sigma规则
机器学习
《基于数据科学的恶意软件分析》
