老大给了一个僵尸网络样本,怎么分析啊。直接使用ida 全部看一遍吗?很多函数看不懂啥意思啊。求助大佬分析思路。
哈哈,你这个问题,我在几个月前也遇到过,但是我比你好一点的是乱七八糟研究的东西比较多,所以一时可能有很多法子。
你说的问题,其实说白了你没有恶意样本分析的通用的思路,还有一点就是你百度google的少。
大体上,多去看恶意样本分析的博客和吾爱破解还有看雪,比如这个
我在着手恶意样本分析的时候看的这个大佬的博客比较多
其次,我给你一下我的分析样本的思路
- 你得知道关于这个样本的一些信息,究竟发生了什么,因为很多时候,给你样本或者你采集的样本,拿到的样本可能只是一部分,并不是母体程序,样本分析和推断是关联的
- 你的样本有没有加壳,如果有加壳你分析的是不准确的,这个加壳包括但不限于你能从查壳软件可以检测出来的壳
- 样本在机器上发生了哪些文件上的变化,哪些注册表上的变化,哪些网络上的变化
- 静态分析,包括但不限于一些字符串分析,导入函数分析,导出函数分析,汇编代码分析,伪代码分析,代码流程图分析等等等
- 动态分析,调试出你在静态分析的时候分析不出来的代码,调试出
C2的地址,我们在静态分析没有分析到的行为,是否还会有第二阶段,第三阶段等等,也是包括但不限于 - 沙盒分析,你的样本在自己虚拟机有的时候会导致样本跑不起来,因为各种各样的环境问题,但是沙盒没准能跑起来,而且在前期会帮你节省出来很多时间
- 样本/IOCS关联分析,确定攻击者行为意图等等
感谢大佬!!!抱大腿!!!