老王教你怎樣快速分析惡意代碼

工欲善其事，必先利其器。希望這個帖子能為有興趣進入反病毒行業(yè)的朋友提供一些基本信息。

先說說硬件：
條件允許的情況下，2條不同網(wǎng)絡(luò)運營商提供的線路，2臺或以上的電腦，具體配置自己感覺滿意就行
雖然用虛擬機也可以，但難免某些惡意代碼有虛擬機檢測機制，所以能用真機就盡量用了


接下來是必備軟件：
Windows XP（別嫌棄老，老有老的好處，輕便+省事）
IDA Pro（雖然市面上還有別的反匯編工具，一是因為IDA強大，二是因為反病毒行業(yè)必備，如果哪位兄弟非要用別的，面試時被BS千萬別說沒提醒過。另外 Hex-rays的反編譯插件確實很強大，但是太貴了沒閑錢買，另一方面養(yǎng)成自己動手豐衣足食的好習慣后其實也不差那個插件）
OllyDbg（同上，行業(yè)必備。但說實話，個人很少用，不是說它不好，而是IDA的注釋太重要了，能靜態(tài)IDA的絕不調(diào)試，即便實在要調(diào)試，能用IDA自帶的調(diào)試器搞定的就直接搞定了，實在不行再換Olly）
WinDbg（同上，行業(yè)必備，調(diào)試驅(qū)動利器。和前者一樣，個人很少用，也不是說它不好，只不過大多驅(qū)動直接用IDA靜態(tài)也就夠了）
Wireshark（截數(shù)據(jù)包必備利器。和前者一樣，個人很少用，也不是說它不好，只是分析時我很少會真讓惡意代碼徹底跑起來，有需要或是靜態(tài)逆出來，或是直接從調(diào)試器里抓出來了）

還有幾款小軟件，個人比較喜歡，但不是必須的
010 Editor
DeDe
Ghost
Hiew
LordPE
WinHex

除此之外還需要一些監(jiān)測小軟件，其實有很多免費的或共享的，但出于減少被惡意代碼忽悠的考慮，所以個人覺得能寫的還是自己寫好，就算不能寫，也盡量選個不知名的。

系統(tǒng)變化監(jiān)測
API監(jiān)測
Rootkit監(jiān)測

其他用于測試的備用軟件：
各類服務(wù)器（HTTP, SMTP, FTP, IRC等等）
各類常見IM（QQ，MSN，YAHOO等等）
Microsoft Office（各個版本的安裝文件）
Adobe Acrobat Reader（各個版本的安裝文件）
Adobe Flash Player（各個版本的安裝文件）

最后提一下惡意代碼樣本的基本分析流程（不包含特征碼提?。?br />1. 恢復(fù)系統(tǒng)鏡像（避免在已感染的環(huán)境下被其他信息誤導(dǎo)）
2. 快速查看是否有可疑字符串
3. 快速查看代碼入口地址是否有被感染痕跡
4. 運行，監(jiān)測并記錄系統(tǒng)變化以確定是否是惡意代碼
5. 如果需要的話，用IDA靜態(tài)分析
6. 如果需要的話，寫一些輔助腳本或代碼協(xié)助分析
7. 如果需要的話，用調(diào)試器調(diào)試
8. 如果需要的話，對相關(guān)域名，服務(wù)器，郵件地址等做背景調(diào)查
9. 文檔化相關(guān)內(nèi)容
10. 備份所有相關(guān)文件

當然，對于在殺軟工作的朋友來說，通常還會需要提取特征碼(一般是在靜態(tài)分析之前），也可能會需要寫修復(fù)工具，但那些工作細節(jié)不同公司會有不同的要求和流程，這里就不多做討論了。