工欲善其事，必先利其器。希望這個(gè)帖子能為有興趣進(jìn)入反病毒行業(yè)的朋友提供一些基本信息。

先說說硬件：
條件允許的情況下，2條不同網(wǎng)絡(luò)運(yùn)營商提供的線路，2臺(tái)或以上的電腦，具體配置自己感覺滿意就行
雖然用虛擬機(jī)也可以，但難免某些惡意代碼有虛擬機(jī)檢測機(jī)制，所以能用真機(jī)就盡量用了

接下來是必備軟件：
Windows XP（別嫌棄老，老有老的好處，輕便+省事）
IDA Pro（雖然市面上還有別的反匯編工具，一是因?yàn)镮DA強(qiáng)大，二是因?yàn)榉床《拘袠I(yè)必備，如果哪位兄弟非要用別的，面試時(shí)被BS千萬別說沒提醒過。另外 Hex-rays的反編譯插件確實(shí)很強(qiáng)大，但是太貴了沒閑錢買，另一方面養(yǎng)成自己動(dòng)手豐衣足食的好習(xí)慣后其實(shí)也不差那個(gè)插件）
OllyDbg（同上，行業(yè)必備。但說實(shí)話，個(gè)人很少用，不是說它不好，而是IDA的注釋太重要了，能靜態(tài)IDA的絕不調(diào)試，即便實(shí)在要調(diào)試，能用IDA自帶的調(diào)試器搞定的就直接搞定了，實(shí)在不行再換Olly）
WinDbg（同上，行業(yè)必備，調(diào)試驅(qū)動(dòng)利器。和前者一樣，個(gè)人很少用，也不是說它不好，只不過大多驅(qū)動(dòng)直接用IDA靜態(tài)也就夠了）
Wireshark（截?cái)?shù)據(jù)包必備利器。和前者一樣，個(gè)人很少用，也不是說它不好，只是分析時(shí)我很少會(huì)真讓惡意代碼徹底跑起來，有需要或是靜態(tài)逆出來，或是直接從調(diào)試器里抓出來了）

還有幾款小軟件，個(gè)人比較喜歡，但不是必須的
010 Editor
DeDe
Ghost
Hiew
LordPE
WinHex

除此之外還需要一些監(jiān)測小軟件，其實(shí)有很多免費(fèi)的或共享的，但出于減少被惡意代碼忽悠的考慮，所以個(gè)人覺得能寫的還是自己寫好，就算不能寫，也盡量選個(gè)不知名的。

系統(tǒng)變化監(jiān)測
API監(jiān)測
Rootkit監(jiān)測

其他用于測試的備用軟件：
各類服務(wù)器（HTTP, SMTP, FTP, IRC等等）
各類常見IM（QQ，MSN，YAHOO等等）
Microsoft Office（各個(gè)版本的安裝文件）
Adobe Acrobat Reader（各個(gè)版本的安裝文件）
Adobe Flash Player（各個(gè)版本的安裝文件）

最后提一下惡意代碼樣本的基本分析流程（不包含特征碼提?。?br />1. 恢復(fù)系統(tǒng)鏡像（避免在已感染的環(huán)境下被其他信息誤導(dǎo)）
2. 快速查看是否有可疑字符串
3. 快速查看代碼入口地址是否有被感染痕跡
4. 運(yùn)行，監(jiān)測并記錄系統(tǒng)變化以確定是否是惡意代碼
5. 如果需要的話，用IDA靜態(tài)分析
6. 如果需要的話，寫一些輔助腳本或代碼協(xié)助分析
7. 如果需要的話，用調(diào)試器調(diào)試
8. 如果需要的話，對(duì)相關(guān)域名，服務(wù)器，郵件地址等做背景調(diào)查
9. 文檔化相關(guān)內(nèi)容
10. 備份所有相關(guān)文件

當(dāng)然，對(duì)于在殺軟工作的朋友來說，通常還會(huì)需要提取特征碼(一般是在靜態(tài)分析之前），也可能會(huì)需要寫修復(fù)工具，但那些工作細(xì)節(jié)不同公司會(huì)有不同的要求和流程，這里就不多做討論了。

創(chuàng)新互聯(lián)建站成立以來不斷整合自身及行業(yè)資源、不斷突破觀念以使企業(yè)策略得到完善和成熟，建立了一套“以技術(shù)為基點(diǎn)，以客戶需求中心、市場為導(dǎo)向”的快速反應(yīng)體系。對(duì)公司的主營項(xiàng)目，如中高端企業(yè)網(wǎng)站企劃 / 設(shè)計(jì)、行業(yè) / 企業(yè)門戶設(shè)計(jì)推廣、行業(yè)門戶平臺(tái)運(yùn)營、APP應(yīng)用開發(fā)、手機(jī)網(wǎng)站制作、微信網(wǎng)站制作、軟件開發(fā)、內(nèi)蒙古服務(wù)器托管等實(shí)行標(biāo)準(zhǔn)化操作，讓客戶可以直觀的預(yù)知到從創(chuàng)新互聯(lián)建站可以獲得的服務(wù)效果。

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務(wù)器15元起步，三天無理由+7*72小時(shí)售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場景需求。

網(wǎng)站名稱：老王教你怎樣快速分析惡意代碼-創(chuàng)新互聯(lián)
路徑分享：http://aaarwkj.com/article38/dpgcpp.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)頁設(shè)計(jì)公司、網(wǎng)站策劃、電子商務(wù)、建站公司、網(wǎng)站排名、Google

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)