病毒分析: 1、行为分析 vm +监视注册表,文件 , 等等 ,分析病毒运行后的创建修改行为
2、代码分析 脱壳,反汇编,如用od 动态分析 通过断点api 文件修改创建, 注册表修改创建, 等等 .......进行分析。 对于感染pe文件的,worm(当然是代码分析) worm 他依附于pe 文件, 修改pe HEADER 或程序入口, 添加pe 区段,使程序执运行时先执行病毒代码,(释放文件,或再感染其他文件)病毒代码执行后,再转到原程序的oep 执行。 要对 pe 格式有一定了解。 --------------------------------------------------------------------------------------------------------------------------------------------------- --~--~---------~--~----~------------~-------~--~----~ 要向邮件组发送邮件,请发到 [email protected] 要退订此邮件,请发邮件至 [EMAIL PROTECTED] -~----------~----~----~----~------~----~------~--~---
