來源：http://bbs.ichunqiu.com/thread-8978-1-1.html?from=ch

課程鏈接：http://www.ichunqiu.com/course/145

實驗工具：

strings??xxx.exe? ?? ?? ?? ?? ?//查看有哪些可打印的字符

petools? ?查看pe結(jié)構(gòu)

virscan??在線查毒工具

free upx??用于脫upx的殼

linxerunpacker??通用的脫殼工具

resource hacker??可以將目標程序中的資源提取出來

實驗思路：

1.利用網(wǎng)絡(luò)掃描工具對目標程序進行掃描

2.利用本地靜態(tài)分析工具分析目標程序

3.提取資源中的內(nèi)容

實驗步驟：

1.使用在線掃描工具進行掃描（使用的是virscan）

2.使用peid查看是否加殼

發(fā)現(xiàn)沒有加殼，用vc++編寫的

3.使用petools查看文件編寫時間

很明顯時間被作者修改過

4.看一下導(dǎo)入了哪些函數(shù)（使用peid）

以下這幾個函數(shù)是病毒經(jīng)常調(diào)用的函數(shù)，createfile用于文件的創(chuàng)建，writefile用于文件的寫入，winexec可以用于執(zhí)行一個文件

findresource和sizeofresource是關(guān)于資源的函數(shù)，也要引起注意

有一個getwindowsdirectory這個api函數(shù)，此函數(shù)可以獲得windows目錄，惡意程序可能會通過此函數(shù)將自身復(fù)制到系統(tǒng)目錄下

在advapi32.dll中的那三個函數(shù)可以用來提升權(quán)限

5.查看有哪些行為

可能會進行網(wǎng)絡(luò)通信

6.提取資源

大概看一下可以知道應(yīng)該是PE文件

將他保存為二進制文件

使用petools具體查看是哪種PE文件（PE文件分為兩種：exe和dll）

將新生成的二進制文件拖到petools里然后查看文件頭

15.png(122.67 KB, 下載次數(shù): 0)

下載附件保存到相冊

半小時前上傳

看到dll沒有打勾說明是exe文件

目前就學(xué)了這些，以后會繼續(xù)努力學(xué)習(xí)