给电脑入门级别的病毒分析方法——脱壳分析法
首先,我们要了解是那么是壳。多数人都听说过壳,可是大多数人都不知道如何来判断和脱壳。
脱壳方式要按照加壳方式来定,那么如何来来判断加壳方式呢?
在这里,给大家分享一个工具。
下载地址:[url=http://www.blackbap.com/bbs/attachments/month_0907/PEiD-Silic.rar[/url]
运行截图:
打开PEID-Silic.exe后,将要分析的文件(不只是限于exe)拖到窗口里就可以了。其中,入口点和偏移主要用于汇编,按钮上方是编写语言或者加壳方式。
我分析Flash的exe得到:“什么都没找到 [Flash 5] *”,如果有人发给你个带有“F”的exe,说是flash,你不要轻易点开,先用这个分析。如果确实是flash,是不会有偏移等PE数据的,而是类似我的那个“什么都没找到”。
下面我有找到两个程序,分析了一下,得到“Upack V0.37-V0.39 -> Dwing *”“PESpin 1.3 -> cyberbob [Overlay]”“UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo”说明它们分别是Upack加壳、UPX加壳和“PESpin”加壳,vXX的数字,是加壳程序版本。“->”后面的我们不用理他。
我们在网上搜索一下他们对应的脱壳程序就可以了。
其实这个程序集成了流行壳的脱壳插件。如图:
当然,也有没加壳的。例如“Microsoft Visual C++ 5.0 [调试]”“Microsoft Visual C++ 6.0 built”等等。而这些没加壳的程序往往很大。
壳分为两种。一种是逻辑的,一种是压缩的。逻辑的主要是病毒用于免杀,而压缩的是为了减少体积。所以有的病毒会加双重甚至多重壳。
所以,为了安全,我们对不清楚地文件,即使用peid-Silic脱壳了也不要盲目打开,用它再分析一遍。知道出现“Visual C++”“Visual Basic”或者“Delphi”等程序语言为止。
一个病毒脱了壳,往往会被杀软认出来,这样我们就可以初步识别病毒文件了
此文章写给没有基础的看,有一定基础的高手就别看了。
