我收到一封定制的电子邮件,其中包含来自公共电子邮件的受感染附件我想更多关于有效载荷。研究这个的正确方法是什么?我想使用调试器。更容易但风险更大的选择是在没有wifi卡的牺牲盒上的Windows客户机/ Linux主机上运行它,并在感染之前和之后比较磁盘映像。 如果我采用调试方式,我应该如何解压缩代码呢? 如何判断恶意软件的语言是什么? 可以通过改变防御性条件跳转来调试任何代码(例如"如果调试器存在"跳转,或者还有其他陷阱?) 恶意软件越狱vmware和感染Linux主机的可能性有多大?
答案 0 :(得分:0)
这是一个耗时的项目。您应该熟悉几种工具:
您需要识别打包机。 PEID是一个好的开始
拆包工具(GUNPacker)。
调试器(OllyDbg或WinDbg)。
代码分析工具(LordPE)。
反汇编。
二进制分析工具(PE Explorer)。
至少可以自信地在自己的代码上使用这些工具。否则,联系专业人士可能会更好。