前言

       本系列課程名為《惡意程序分析與高級(jí)對(duì)抗技術(shù)》，重點(diǎn)給大家介紹各種類(lèi)型惡意程序的基本分析方法以及針對(duì)于某一批類(lèi)似樣本的高級(jí)對(duì)抗技術(shù)，利用高級(jí)查殺技術(shù)，從而實(shí)現(xiàn)對(duì)惡意程序的通殺。

課程概述

       為了使大家能夠循序漸進(jìn)地理解相應(yīng)的技術(shù)，本系列課程主要分為五個(gè)部分進(jìn)行講解。其中的概論篇主要是對(duì)課程的一個(gè)總體介紹，以及課程中所使用的一些分析工具的簡(jiǎn)單講解，并包含課程預(yù)告等信息。基礎(chǔ)篇主要教給大家的是快速對(duì)惡意程序進(jìn)行判斷的技巧，力求以最少最簡(jiǎn)單的工具實(shí)現(xiàn)對(duì)目標(biāo)樣本惡意與否的判斷。以求讓大家了解各種惡意程序的特點(diǎn)，打消大家對(duì)惡意程序的恐懼。在進(jìn)階篇里面主要討論的是如何對(duì)惡意程序進(jìn)行完整詳細(xì)的分析，需要結(jié)合對(duì)應(yīng)的靜態(tài)與動(dòng)態(tài)分析工具，從而全面的了解一個(gè)惡意程序的行為，進(jìn)而為寫(xiě)出專(zhuān)殺工具打下基礎(chǔ)。高級(jí)篇里面主要講解的是如何對(duì)一批類(lèi)似樣本實(shí)現(xiàn)通殺，有別于傳統(tǒng)的病毒特征，高級(jí)特征的編寫(xiě)需要在對(duì)大量樣本進(jìn)行深入分析的基礎(chǔ)上，運(yùn)用創(chuàng)新的思維以程序的形式來(lái)對(duì)抗大批量的惡意程序。重點(diǎn)會(huì)介紹啟發(fā)式查殺以及基本的機(jī)器學(xué)習(xí)方式來(lái)對(duì)抗不同類(lèi)型的惡意程序的技術(shù)。補(bǔ)遺篇的內(nèi)容則是對(duì)之前幾部分內(nèi)容的補(bǔ)充說(shuō)明，將之前課程中沒(méi)有說(shuō)清楚的以及沒(méi)有說(shuō)完整的技術(shù)再給大家從另一個(gè)角度講一遍。相信通過(guò)本系列課程的學(xué)習(xí)，不單單能夠讓大家掌握惡意程序分析的基本技巧，更加能夠拓寬大家的思維，讓大家知道，反病毒領(lǐng)域的工作，不單單是病毒分析，不單單是特征的提取，其實(shí)還有更加廣闊的世界是值得我們?nèi)ヌ剿鞯模瑥亩谶@場(chǎng)沒(méi)有硝煙的戰(zhàn)場(chǎng)中，貢獻(xiàn)自己的智慧。

常用工具簡(jiǎn)介

       正所謂“工欲善其事，必先利其器”，這一觀(guān)點(diǎn)在我們病毒分析領(lǐng)域尤為重要。優(yōu)秀的工具對(duì)我們的工作往往能夠起到事半功倍的效果，因此從某種程度上來(lái)講，病毒分析其實(shí)就是建立在對(duì)相關(guān)編程語(yǔ)言深入理解的基礎(chǔ)上，對(duì)各種分析工具綜合運(yùn)用的一種技術(shù)。以下所列出的是我在本系列課程中重點(diǎn)使用的一些工具：

       1、靜態(tài)分析工具：Hiew、IDA等

       在我們病毒分析的日常工作中，大部分時(shí)間是利用Hiew這款工具對(duì)目標(biāo)程序進(jìn)行分析的，只有在目標(biāo)程序比較復(fù)雜，或者需要寫(xiě)分析報(bào)告的時(shí)候，才會(huì)使用IDA進(jìn)行分析。那么在本系列的課程中也是如此，在基礎(chǔ)篇中，我主要會(huì)使用Hiew來(lái)為大家演示樣本的快速判斷技術(shù)，而在進(jìn)階篇里面，則主要依靠IDA來(lái)對(duì)目標(biāo)樣本進(jìn)行詳細(xì)分析。

       2、動(dòng)態(tài)分析工具：OllyDbg、WinDbg以及火絨劍等

       一般來(lái)說(shuō)，用戶(hù)層（Ring3層）的動(dòng)態(tài)調(diào)試，OD是我們的不二選擇，而在內(nèi)核層（Ring0層）或者在軟件排錯(cuò)領(lǐng)域，我們更多地會(huì)選擇WinDbg。而火絨劍則主要用于目標(biāo)樣本的動(dòng)態(tài)監(jiān)控，可以獲取到目標(biāo)樣本的詳細(xì)行為。

       3、虛擬機(jī)工具及操作系統(tǒng)：VMWare、Windows XP、Windows 7 64位版本

       由于我們分析的樣本可能具有極強(qiáng)的破壞性，因此如果需要將目標(biāo)樣本運(yùn)行起來(lái)進(jìn)行分析的話(huà)，那么一定要在虛擬中進(jìn)行。我所使用的是VMWare，并且在虛擬機(jī)里面安裝了Windows XP操作系統(tǒng)用于分析32位程序，如果需要?jiǎng)討B(tài)分析64位程序，我在虛擬機(jī)里面使用的是Windows 7的64位版本。

       以上是對(duì)本系列課程中主要使用的工具的簡(jiǎn)單介紹，事實(shí)上在應(yīng)對(duì)不同的樣本的時(shí)候，我們還會(huì)使用其它的一些輔助分析工具，那么這些工具會(huì)在具體的課程中再進(jìn)行介紹。

小結(jié)

       以上就是本系列課程的簡(jiǎn)單介紹與常用工具的講解。我會(huì)在未來(lái)的課程中給大家循序漸進(jìn)地剖析惡意程序的分析方法以及對(duì)抗技術(shù)。希望能夠讓大家早日成為計(jì)算機(jī)網(wǎng)絡(luò)安全領(lǐng)域的杰出工程師。