图解恶意样本分析的常用方法,你与安全专家的差距只有几篇文章。
文件识别
常见的可执行程序格式有PE,ELF,MACH-O等,不同的格式有不同的标志信息(参考理论篇),知道了目标文件的格式后才能确定对应的分析方法和分析工具。
可以使用16进制解析器载入可执行程序,然后查看是哪种类型的文件。
一般二进制文件的前四个字节为文件格式的magic,可以通过从网络搜索获得文件的信息,或者使用相关的工具(PEID,file)等进行自动识别。
图解恶意样本分析的常用方法,你与安全专家的差距只有几篇文章。
文件识别
常见的可执行程序格式有PE,ELF,MACH-O等,不同的格式有不同的标志信息(参考理论篇),知道了目标文件的格式后才能确定对应的分析方法和分析工具。
可以使用16进制解析器载入可执行程序,然后查看是哪种类型的文件。
一般二进制文件的前四个字节为文件格式的magic,可以通过从网络搜索获得文件的信息,或者使用相关的工具(PEID,file)等进行自动识别。