2018/11/08-调试器-《恶意代码分析实战》

  调试器是用来检测或测试其他程序运行的以来软件或硬件。由于刚完成的程序包含错误,因此调试器在软件开发过程中可以大显身手。调试器让你能够洞察程序在执行过程中做了什么。调试器的目的是允许开发者监控程序的内部状态和运行。

  从调试器获得程序的信息可能比较困难,但并不意味着不可能,可以从反汇编器中获得所需信息。反汇编会在程序执行第一条指令前,立即提供程序的快照。当程序执行时,调试器的目的是允许开发者监控程序的内部状态和运行。

  调试器监控程序执行的能力在恶意代码分析过程中扮演着十分重要的角色。调试器允许你查看任意地址的内容、寄存器的内容以及每个函数的参数。调试器也允许你在任意时刻改变关于程序执行的任何东西。例如,你可以在任意时刻改变任意一个变量的值——前提条件是你需要获得关于这个变量的足够信息,包括在内存中的位置。

  

原文地址:https://www.cnblogs.com/Fingerprint/p/9932798.html

时间: 11-08

2018/11/08-调试器-《恶意代码分析实战》的相关文章

恶意代码分析实战

恶意代码分析实战(最权威的恶意代码分析指南,理论实践分析并重,业内人手一册的宝典) [美]Michael Sikorski(迈克尔.斯科尔斯基), Andrew Honig(安德鲁.哈尼克)著   <恶意代码分析实战>是一本内容全面的恶意代码分析技术指南,其内容兼顾理论,重在实践,从不同方面为读者讲解恶意代码分析的实用技术方法. <恶意代码分析实战>分为21章,覆盖恶意代码行为.恶意代码静态分析方法.恶意代码动态分析方法.恶意代码对抗与反对抗方法等,并包含了 shellcode分析

20145234黄斐《网络对抗技术》实验四,恶意代码分析

恶意代码 概述 恶意代码是指故意编制或设置的.对网络或系统会产生威胁或潜在威胁的计算机代码.最常见的恶意代码有计算机病毒(简称病毒).特洛伊木马(简称木马).计算机蠕虫(简称蠕虫).后门.逻辑炸弹等. 特征: 恶意的目的,获取靶机权限.用户隐私等 本身是计算机程序,可以执行,并作用于靶机 通过执行发生作用,一般来说不运行是没问题的 恶意代码分析 在大多数情况下,进行恶意代码分析时,我们将只有恶意代码的可执行文件本身,而这些文件并不是我们人类可读的.为了了解这些文件的意义,你需要使用各种工具和技巧

20145326蔡馨熠《网络对抗》——恶意代码分析

20145326蔡馨熠<网络对抗>--恶意代码分析 1.实验后回答问题 (1)如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所以想监控下系统一天天的到底在干些什么.请设计下你想监控的操作有哪些,用什么方法来监控.. 需要监控什么? 系统中各种程序.文件的行为. 还需要注意是否会出现权限更改的行为. 注册表. 是否有可疑进程. 如果有网络连接的情况,需要注意这个过程中的IP地址与端口. 用什么来监控? 最先想到的肯定是使用wireshark抓包了,再进行进一步分析. Sysinternals

恶意代码分析技术

1.恶意代码分析技术 恶意代码分析有两类方法:静态分析和动态分析.静态分析方法是在没有运行恶意代码时对其进行分析的技术,而动态分析方法则需要运行恶意代码,而这两类技术又进一步分析基础技术和高级技术. 1).静态分析技术基础技术 静态分析基础技术包括检查可执行文件但不查看具体指令的一些技术.静态分析基础技术可以确认一个文件是否是恶意的,提供有关其功能的信息,有时还会提供一些信息让你能够生成简单的网络特征码. 2).动态分析基础技术 动态分析基础技术涉及运行恶意代码并观察系统的行为,以移除感染,产生

20145225唐振远《网络对抗》Exp4 恶意代码分析

20145225唐振远<网络对抗>Exp4 恶意代码分析 基础问题回答 如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么.请设计下你想监控的操作有哪些,用什么方法来监控. 使用Windows自带的schtasks指令设置一个计划任务,指定每隔一定时间记录主机的联网记录或者是端口开放.注册表信息等等: 通过sysmon工具,配置好想记录事件的文件,之后在事件查看器里找到相关日志文件便可以查看: 使用Process Explorer工具,监视进程执行情况,查

20145239杜文超《网络对抗技术》- 恶意代码分析

20145239杜文超<网络对抗技术>- 恶意代码分析 实验后回答问题 1.如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么.请设计下你想监控的操作有哪些,用什么方法来监控. (1)使用计划任务schtasks指令动态监控系统运行 (2)使用sysmon工具动态监控系统运行 2.如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息. (1)使用systracer工具进行快照分析注册表信息.文件行为等信息的变化 (2)把程序放在vir

恶意代码分析——动、静态分析基础技术

一.静态分析基础技术 1.可通过用软件计算恶意程序MD5值,然后检索该MD5值来获取信息并作为标签使用  [md5deep  winmd5] 2.通过检索恶意代码字符串获得相应的功能调用解释.功能行为及模块调用.当可检索字符串非常少时,有可能被加壳处理,(注意"LoadLibrary"和"GetProcAddress"两个字符串,它们是用来加载或调用其他函数功能的),此时需要用外壳检测工具进行检测.脱壳处理  [字符串检索:Strings  外壳检测:PEiD] 3

20145235李涛《网络对抗技术》- 恶意代码分析

基础问答 如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么.请设计下你想监控的操作有哪些,用什么方法来监控. 可以通过计划任务,来建立一个定时更新的日志来查看 通过sysmon来监控. 通过Process Explorer工具,查看是否有程序调用了异常的dll库 如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息. 可以通过抓包工具,进行分析. 通过systracer工具分析某个程序执行前后,计算机注册表.文件.端口的一些变化情况.

20145309 《网络攻防》恶意代码分析

一.基础问题回答 (1)总结一下监控一个系统通常需要监控什么.用什么来监控. 注册表信息的增删添改,系统上各类程序和文件的行为记录以及权限,实现网络连接的进程,使用的IP地址和端口号等 使用Schtasks指令.sysmon.TCPView.WireShark等工具 (2)如果在工作中怀疑一台主机上有恶意代码,请设计下你准备如何找到对应进程.恶意代码相关文件. 首先使用静态分析将其上传至扫描网站.后使用TCPView工具查看正在联网的进程,进行的初步分析,再通过sysmon事件日志,找到怀疑的程

20145310《网络对抗》恶意代码分析

一.基础问题回答 (1)总结一下监控一个系统通常需要监控什么.用什么来监控. 通常监控以下几项信息: 注册表信息的增删添改 系统上各类程序和文件的行为记录以及权限 实现网络连接的进程,使用的IP地址和端口号等 用以下软件工具来监控: TCPview工具查看系统的TCP连接信息 wireshark进行抓包分析,查看网络连接 sysmon用来监视和记录系统活动,并记录到windows事件日志,提供文件.进程等的详细信息 (2)如果在工作中怀疑一台主机上有恶意代码,请设计下你准备如何找到对应进程.恶意