样本分析

记录下威胁情报和攻击数据的样本分析通用方法，以便自己随时复习。

主要分析思路

木马类

木马是一类很特别的软件，初步分析时没必要搞清楚它所有的细节。(但想深入分析肯定得搞清楚得)

木马哪些地方特别有价值

• 木马的“三无”：无进程，无文件，无网络连接
• 对应技术：木马的启动技术，存储方式，传输技术，即是说搞清楚木马的启动方式，花式存活方式，如何突破网络限制连接C2。

病毒木马的初始化操作步骤

大多数病毒木马在成功植入用户计算机之后，在执行恶意代码之前，会进行初始化操作。

主要为3个技术点：运行单一实例、DLL延迟加载、资源释放。

Web类

思考题：没有POC、没有EXP的时候如何挖掘漏洞？

代码对比(对比官方的源码改动)

代码审计

1.语言基础

2.常用的第三方审计工具 - Java：Fortify、Checkmarx - PHP：Seay源代码审计系统

污点追踪（深入漏洞挖掘避不开这个）

todo

一般信息

1.常用查IP地址归属地

由于运营商原因，ip归属地应当对比。

• ip138.com
• whatismyipaddress.com
• ping.pe/ping.php - 瓦工推荐IP检测，备用

2.各机构辅助查询

• 微步在线
• 微步云沙箱
• 奇安信ALPHA威胁分析平台
• virustotal
• virscan

推荐书目

• Windows黑客编程技术详解 - 有讲解病毒和木马的各类实现技术

推荐线上资源

• 恶意代码分析基础技能表

各种分析参考

• 分析：Linux watchdogs感染性隐藏挖矿病毒入侵还原