防毒軟體整體架構分析與免殺繞過 (三)
逆向分析模組
此模組可能具備了兩種及各家公司的獨門分析多種模式。
因此這個模組不只兩種模式。
1.動態分析
各位皆知,人工分析使用的就是ollydbg 或是x64dbg以及其他像是immunity debugger
這都是動態分析軟體,需要人工操作。
2.靜態分析
以不干擾原執行檔為前提進行反組譯逆向分析,像是IDA pro這種軟體,也是需要人為判斷
這樣就不會因為誤觸F9而讓他執行。比較安全的分析方式。
兩大分析模式,同樣都有一個共通點。
這個共通點核心就是,亂碼轉16進位(機械碼),機械碼再轉組合語言。
--------------------------------------------------------------------------------------------
動態分析
把檔案用Ollydbg開啟,OD會載入執行檔內部的所有資料
Ollydbg的使用者介面
左上角的大視窗組合語言區塊是主程序Module的區塊,使用一般的記事本開啟,就是不可讀的亂碼。
右上角的區塊,就是運算暫存器的區塊,這邊是負責搬運位址和數值與傳遞訊號的地方。
左下角的是,他能觀察到目前程序在運作裡面的所有資訊以及他的相關的dump資訊。
右下角的是堆疊,能在分析時候立刻看到他的資料位址與資料狀態,這區塊能夠與右上角相互觀察程序動向。有新的改變時候,右上角能夠看出全部的資料流動狀態。
當然,可以這麼說,左下角與右下角的區塊是互相吻合的。
只是右下角直接縮減龐大的16進位,並整合了資料dump資訊與組合語言暫存器資訊流動的目前狀態。
-------------------------------------------------------------------------------------------
靜態分析
IDA靜態分析工具,舉世皆知,他也是運用相同方式去做處理,他的module觀察方式跟OD不太相同,當然這個工具功能也比OD來得更強大。
具備了圖形化的分析方式,也具備了高級還原程式碼的工具,但不可能真的還原回原始碼。
更多的靜態分析,請各位自行上網搜尋。
--------------------------------------------------------------------------------------------
病毒分析師的工作
很多人都看過分析師的桌上有兩台到三台的桌上型電腦,他主要就是需要一邊觀察程式碼,一邊觀察所有資訊與對外網路的連線狀態。
再來就是觀察完病毒的反應後,開始進行反病毒的程式碼撰寫,這個過程,就是常常嘴上說的"一鍵修復"。
一般的分析師一天可以撰寫"大約100個左右"反病毒定義檔,所以一間防毒公司不只有少數幾個擔任分析師。因為外界的病毒太多太多了。
當然,要有一定程度的分析能力,才可以自行的去解決在遭受病毒侵害後的還原操作過程。
當然,做這行業的薪水肯定是非常高的。
再寫完之後,會把提取出來的特徵碼丟到伺服器進行客戶端更新。
----------------------------------------------------------------------------------------------
******總而言之,逆向模組就是那間公司的分析師的技術精華。******
逆向模組困難的原因其實是在分析的正確和技術,不僅要快速,耗能也要極小,技術也要夠高端。
這個逆向技術不是每間公司都一樣,再次強調~ 有好有壞,這是公司技術不同導致。
下一篇會繼續說明稍難的沙盒模組
請各位多加關注
防毒軟體整體架構分析與免殺繞過 (四)
1.動態分析
各位皆知,人工分析使用的就是ollydbg 或是x64dbg以及其他像是immunity debugger
這都是動態分析軟體,需要人工操作。
2.靜態分析
以不干擾原執行檔為前提進行反組譯逆向分析,像是IDA pro這種軟體,也是需要人為判斷
這樣就不會因為誤觸F9而讓他執行。比較安全的分析方式。
兩大分析模式,同樣都有一個共通點。
這個共通點核心就是,亂碼轉16進位(機械碼),機械碼再轉組合語言。
--------------------------------------------------------------------------------------------
動態分析
把檔案用Ollydbg開啟,OD會載入執行檔內部的所有資料
Ollydbg的使用者介面
左上角的大視窗組合語言區塊是主程序Module的區塊,使用一般的記事本開啟,就是不可讀的亂碼。
右上角的區塊,就是運算暫存器的區塊,這邊是負責搬運位址和數值與傳遞訊號的地方。
左下角的是,他能觀察到目前程序在運作裡面的所有資訊以及他的相關的dump資訊。
右下角的是堆疊,能在分析時候立刻看到他的資料位址與資料狀態,這區塊能夠與右上角相互觀察程序動向。有新的改變時候,右上角能夠看出全部的資料流動狀態。
當然,可以這麼說,左下角與右下角的區塊是互相吻合的。
只是右下角直接縮減龐大的16進位,並整合了資料dump資訊與組合語言暫存器資訊流動的目前狀態。
-------------------------------------------------------------------------------------------
靜態分析
IDA靜態分析工具,舉世皆知,他也是運用相同方式去做處理,他的module觀察方式跟OD不太相同,當然這個工具功能也比OD來得更強大。
具備了圖形化的分析方式,也具備了高級還原程式碼的工具,但不可能真的還原回原始碼。
更多的靜態分析,請各位自行上網搜尋。
--------------------------------------------------------------------------------------------
病毒分析師的工作
很多人都看過分析師的桌上有兩台到三台的桌上型電腦,他主要就是需要一邊觀察程式碼,一邊觀察所有資訊與對外網路的連線狀態。
再來就是觀察完病毒的反應後,開始進行反病毒的程式碼撰寫,這個過程,就是常常嘴上說的"一鍵修復"。
一般的分析師一天可以撰寫"大約100個左右"反病毒定義檔,所以一間防毒公司不只有少數幾個擔任分析師。因為外界的病毒太多太多了。
當然,要有一定程度的分析能力,才可以自行的去解決在遭受病毒侵害後的還原操作過程。
當然,做這行業的薪水肯定是非常高的。
再寫完之後,會把提取出來的特徵碼丟到伺服器進行客戶端更新。
----------------------------------------------------------------------------------------------
******總而言之,逆向模組就是那間公司的分析師的技術精華。******
逆向模組困難的原因其實是在分析的正確和技術,不僅要快速,耗能也要極小,技術也要夠高端。
這個逆向技術不是每間公司都一樣,再次強調~ 有好有壞,這是公司技術不同導致。
下一篇會繼續說明稍難的沙盒模組
請各位多加關注
防毒軟體整體架構分析與免殺繞過 (四)
沒有留言:
張貼留言