《有趣的二进制:软件安全与逆向分析》读书笔记:使用工具探索更广阔的世界

Posted 思源湖的鱼

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了《有趣的二进制:软件安全与逆向分析》读书笔记:使用工具探索更广阔的世界相关的知识,希望对你有一定的参考价值。

目录

前言

本篇继续阅读学习《有趣的二进制:软件安全与逆向分析》,本章是使用工具探索更广阔的世界,简单介绍了 REMnux & ClamAV、Zero Wine Tryouts和一些启发式技术,这里就简单记录了下几个工具

一、 REMnux & ClamAV

1、REMnux

REMnux 是一个 Linux 工具包,用于对恶意软件进行逆向工程和分析,而无需查找、安装和配置工具

  • 官网:https://remnux.org/
  • REMnux 是基于特征库来工作的,因此无法应对新的恶意软件,但它的魅力在于检测恶意软件非常方便

打开后如图

更新数据库是用的第一步,命令:freshclam


扫描目录/文件:

clamscan <目录名/文件名> #扫描对应目录/文件
clamscan -r /    		#扫描计算机上的所有文件并且显示所有的文件的扫描结果
clamscan -r --bell -i / #扫描计算机上的所有文件并且显示有问题的文件的扫描结果
clamscan -r /home 		#扫描所有用户的主目录

2、ClamAV

REMnux 中使用的 clamscan 命令,实际上是调用 GPL 协议的反病毒软件 ClamAV 对恶意软件和漏洞攻击进行扫描

  • 官网:http://www.clamav.net/
  • 特征文件扩展名为 .cvd,其中 main.cvd 为基本数据库, daily.cvd 为每日新增的特征数据库
  • .cvd 文件实际上是通过 tar.gz 压缩的,将文件开头的 512 个字节删掉之后,就可以用 tar 命令解压缩了

一些命令:

trid sample.exe #检测文件详细信息
pescanner sample.exe #根据文件的元数据检测出所使用的打包器或者疑似恶意软件的文件

二、用 Zero Wine Tryouts 分析恶意软件

Zero Wine Tryouts 是一个开源的自动分析工具,只要将文件上传上去就可以显示结果

运行机制

  • Zero Wine Tryouts 运行在开源虚拟机 QEMU 上
  • 启动后会自动打开一个 HTTP 服务器,通过网页可以上传 EXE 文件并进行分析
  • 内部是一个基于 Wine 的沙箱环境,Wine 是一个能够在 Linux、 BSD、Solaris、OS X 等非 Windows 环境下运行 Windows 程序(PE 文件)的运行时库,官网:http://www.winehq.org/

结语

主要是一些工具的介绍

这本书到此就结束了,可以看到是一本很浅显的介绍性书籍

以上是关于《有趣的二进制:软件安全与逆向分析》读书笔记:使用工具探索更广阔的世界的主要内容,如果未能解决你的问题,请参考以下文章

《有趣的二进制:软件安全与逆向分析》读书笔记:使用工具探索更广阔的世界

《有趣的二进制:软件安全与逆向分析》读书笔记:利用软件的漏洞进行攻击

《有趣的二进制:软件安全与逆向分析》读书笔记:利用软件的漏洞进行攻击

《有趣的二进制:软件安全与逆向分析》读书笔记:利用软件的漏洞进行攻击

《有趣的二进制:软件安全与逆向分析》读书笔记:通过逆向工程学习如何读懂二进制代码

《有趣的二进制:软件安全与逆向分析》读书笔记:通过逆向工程学习如何读懂二进制代码