RE(1)
(原创)RE基础知识
专有名词解释
- 静态分析:静态分析使用软件工具来检查可执行文件,而无需在 Assembly 中运行实际的反编译指令。
- 动态分析:动态分析使用反汇编程序和调试器在实际运行恶意软件二进制文件时对其进行分析。当今市场上最流行的工具称为 IDA,它是一个多平台、多处理器的反汇编器和调试器。当今市场上还有其他反汇编器/调试器工具,例如 Hopper Disassembler、OllyDbg 等等。
- 基于主机的签名:基于主机的签名也称为指示器,它可以识别由受感染代码创建或编辑的文件,这些文件可以对计算机注册表进行隐藏更改。这与防病毒签名形成鲜明对比,因为这些签名专注于恶意软件的实际行为,而不是恶意软件的构成,这使得它们能够更有效地查找可以迁移或已从媒体中删除的恶意软件。
- 网络签名:网络签名用于通过检查网络流量来查找恶意代码。
逆向操作流程
- 第一步识别出这些基于主机的签名,第二步是分析恶意软件,确定恶意软件的实际行为(静态分析与动态分析)。
恶意软件类型
- 后门: 一种恶意代码,它将自身嵌入计算机中,以允许远程攻击者访问,但几乎没有权限或有时没有权限在任何相应的本地计算机上执行各种命令。
- 僵尸网络: 允许攻击者访问系统,但接收的指令不是来自一个远程攻击者,而是来自一个命令和控制服务器,该服务器可以同时控制无限数量的计算机。
- 下载器: 只不过是恶意代码,只有一个目的,即安装其他恶意软件。当黑客最初获得对系统的访问权限时,通常会安装下载程序。然后,下载器会安装额外的软件来控制系统。
- 恐吓软件: 用于诱骗用户购买额外的软件,以便在不存在任何真正威胁时错误地保护用户。一旦用户付费从计算机中删除受骗的软件,它就可以保持驻留状态,然后以更改的形式出现。
- 信息访问恶意软件: 它从计算机收集信息并将其直接发送到主机,例如键盘记录器或密码抓取器,通常用于访问各种可能非常敏感的在线帐户。
- 其他类型:有些恶意程序会启动其他恶意程序,这些程序使用非标准选项来增加访问权限或在渗透系统时获得更强大的隐藏/隐藏技术;有的恶意软件会从目标机器发送垃圾邮件,通过允许攻击者向其他用户出售各种服务来为攻击者创造收入。
- 最危险的恶意软件形式之一是 rootkit,它向用户隐藏了自身和其他恶意软件的存在,这使得它极难找到。Rootkit 可以操纵进程,例如在 IP 扫描中隐藏其 IP,以便用户可能永远不知道他们拥有僵尸网络或其他远程计算机的直接套接字。
总结
- 恶意软件的最终形式是传统的蠕虫或病毒,它会自我复制并攻击其他计算机。