古語有雲：“學如逆水行舟，不進則退。”面對如今随時都在變化的網絡安全環境更是如此。爲此，創信華通微信公衆号特開(kāi)設“創安實驗室專欄”，以記錄創信華通創安實驗室在技術上的探索，加強同行間的交流，相互學習，共同進步。

✦+

快速分(fēn)析技術+日志(zhì)分(fēn)析技術→提取特征碼+簡要報告

靜态分(fēn)析技術+動态分(fēn)析技術→提取特征碼+詳細分(fēn)析報告+專殺工(gōng)具開(kāi)發+獲取C2

1、在線反病毒引擎

2、hash獲取 certutil -hashfile 01.惡意代碼基礎知(zhī)識.exe MD5

或者用電腦自帶crc sha

 3、查找字符串 hive string ida 火(huǒ)絨劍

4、查殼 pied

這個是沒有殼的，什麽都沒找到或者顯示其他名稱是有殼

5、導入導出函數

獲取函數地址+加載動态鏈接庫→動态尋找 winexec執行

創建文件+寫文件+移動文件→移動自身，進行隐藏

打開(kāi)進程+創建遠程線程→遠程線程注入

尋找資(zī)源+資(zī)源尺寸+加載資(zī)源→說明程序得資(zī)源段裏面有隐藏得東西，在釋放(fàng)可執行文件

進行權限相關得操作。懷疑是提權

下(xià)載器和啓動器—沒有實際的惡意功能

6、獲取資(zī)源信息

dos頭+pe頭→可執行程序，windows下(xià)的pe程序

發現是下(xià)載文件+執行→下(xià)載器

 7、在線沙箱

創安實驗室