假设一台机器有恶意软件,不管它是如何到达那里的,我想做的一件事是获取二进制文件并对其进行逆向工程,以查看恶意软件正在做什么/已经做什么。
最好知道什么受到了损害,并寻找成功删除它的途径。
我发现了诸如 IDAPro 和 OllyDbg 之类的工具,它们被证明是有用的,但是,我不会撒谎并假装我了解要查找的内容,或者每个显示的数据意味着什么。
有哪些好的资源可以用来学习和真正理解这些调试器中显示的数据,以及一些用于恶意软件逆向工程的资源?
我不只是在寻找删除工具,我还在尝试深入研究恶意软件并查看它的作用。
谢谢!
恶意软件是一件棘手的事情 - 恶意软件 RE 不仅涉及反汇编或调试 - 它还涉及行为、更改监控等。
我想你会对一些描述恶意软件分析的博客感兴趣,那么你可以在这里寻找它们:https ://code.google.com/p/it-sec-catalog/wiki/Malware 。不知道是否值得一提关于 RE 的资源——互联网上真的有很多资料。
您还应该考虑购买以下书籍:http ://www.amazon.com/Malware-Analysts-Cookbook-DVD-Techniques/dp/0470613033/ref=wl_mb_recs_5_dp
根据您想达到的水平,Lenny Zeltser 在 SANS 上的课程应该非常好。
韦斯布朗在这里做了一个很好的演讲。
Paul Melson写了关于这类事情的博客,并在此处进行了演示。
但是请检查您所在地区的法律 - 在某些司法管辖区,某些类型的逆向工程是非法的,即使它只是为了您自己的学习,所以要小心!
逆向工程软件简介- 涵盖 Linux 和 Windows 上的逆向工程。还没有通读它,但似乎有一些很好的报道。
恶意软件分析和防病毒技术是赫尔辛基阿尔托大学的一门课程。他们让 f-secure 的首席研究官进行了一些讲座。第一次讲座是在星期三,他们应该很快就会在网上发布课程材料。希望它会证明提供一些好的资源。
这篇博文将让您开始涉足恶意软件分析领域 Sans的恶意软件分析