[[407623]]

本文轉(zhuǎn)載自微信公眾號(hào)「Bypass」，作者Bypass。轉(zhuǎn)載本文請(qǐng)聯(lián)系Bypass公眾號(hào)。

當(dāng)服務(wù)器發(fā)生病毒入侵，使用殺毒軟件檢測(cè)到一個(gè)惡意程序，你刪除了它。但是過(guò)了幾天又發(fā)生了同樣的安全事件，很顯然惡意程序被沒(méi)有被清除干凈。我們需要知道這個(gè)惡意代碼到底做了什么，如何進(jìn)行有效檢測(cè)，才能進(jìn)一步消除它帶來(lái)的影響。

本文主要通過(guò)幾個(gè)簡(jiǎn)單的步驟，分享惡意樣本分析的基本方法。

1、多引擎在線病毒掃描

找到了一個(gè)惡意樣本程序，通過(guò)多病毒引擎進(jìn)行安全掃描，可以幫助你判斷文件是否為惡意程序。

VirSCAN：免費(fèi)多引擎在線病毒掃描1.02版，支持47個(gè)殺毒引擎。

https://www.virscan.org/ 

VirusTotal：一個(gè)在線多殺毒引擎掃描的網(wǎng)站，使用70多種防病毒掃描程序進(jìn)行檢測(cè)。

https://www.virustotal.com/gui/ 

2、文件哈希值

文件哈希值是惡意代碼的指紋，通過(guò)它用來(lái)確認(rèn)文件是否被篡改，也可以通過(guò)HASH值查找惡意樣本，一般我們也可以使用多種哈希驗(yàn)證文件的唯一性。

3、查找字符串

通過(guò)對(duì)程序中的字符串進(jìn)行搜索，從而獲取程序功能提示。

Strings:

https://docs.microsoft.com/en-us/sysinternals/downloads/strings 

4、病毒查殼

使用PEiD檢測(cè)加殼，脫殼過(guò)程往往是很復(fù)雜的。

5、PE文件頭

PE文件頭包含了很多比較有用的信息，比如導(dǎo)入/導(dǎo)出函數(shù)、時(shí)間戳、資源節(jié)等信息?？赏ㄟ^(guò)獲取關(guān)鍵信息，來(lái)猜測(cè)惡意代碼的功能。

6、云沙箱分析

將惡意樣本上傳到微步云沙箱，通過(guò)威脅情報(bào)、靜態(tài)和動(dòng)態(tài)行為分析，以發(fā)現(xiàn)惡意程序存在的異常。

微步云沙箱：

https://s.threatbook.cn/ 

7、動(dòng)態(tài)行為分析

通過(guò)火絨劍對(duì)文件行為、注冊(cè)表行為、進(jìn)程行為、網(wǎng)絡(luò)行為進(jìn)行分析，捕獲惡意樣本特征。