1 反病毒引擎掃描

www.virustotal.com

2 哈希值：惡意代碼的指紋

md5deep程序：計算出程序的哈希值

3 查找字符串

Strings程序，搜索可執行文件中的可打印字符串，這些字符串通常以ACSII或Unicode格式進行存儲。

Strings下載地址：https://docs.microsoft.com/zh-cn/sysinternals/downloads/strings

4 加殼與混淆惡意代碼

混淆程序是惡意代碼編寫者嘗試去隱藏其執行過程的代碼，加殼程序是其中一種。

合法程序大多總是會包含很多字符串，而由被加殼或者混淆的惡意代碼直接分析獲取得到的可打印字符串很少。

加殼和混淆代碼通常至少會包含LoadLibrary和GetProcAddress函數，用來加載和使用其他函數功能的。

當加殼的程序運行時，會首先運行一段脫殼代碼，來解壓，這段脫殼代碼可以被解析，但后面的可執行程序（字符串列表、導入表、其他信息等）是不可見的。

PEiD工具，檢測加殼器類型，或用來鏈接應用程序的編譯器類型。

5 PE文件格式

可移植執行（PE）文件格式是Windows可執行文件、對象和DLL所使用的標準格式，是一種數據結構，包含為Windows操作系統加載器管理可執行代碼所必要的信息。

PE文件以一個文件頭開始，其中包括代碼信息、應用程序類型、所需的庫函數與空間要求。

6 鏈接庫與函數

靜態鏈接，不常用。當一個庫被靜態鏈接到可執行程序時，所有這個庫中的代碼都會被復制到可執行程序中，很難區分靜態鏈接的代碼與可執行程序自身代碼。

運行時鏈接，在合法程序中不常見，在惡意代碼中常用，特別是當惡意代碼被加殼或是混淆的時候。只有當需要使用函數時，才鏈接到庫。

動態鏈接，程序啟動時就會鏈接，在程序被裝載時搜索所需的代碼庫，如果程序調用了被鏈接的庫函數，這個函數會再代碼庫中執行。

PE文件頭中存儲了每個將被裝載的庫文件，以及每個會被程序使用的函數信息。

Dependency Walker工具：探索動態鏈接函數。下載地址：http://www.dependencywalker.com/

Windows函數命名：CreateWindowEx，當微軟更新一個函數，新函數與舊函數不兼容，這時微軟會使用舊函數，新函數會給一個與舊函數相同的名字，并加上Ex的后綴。

以字符串作為參數的函數，在名字后面會包含一個A或W，CreateDirectoryW，這個字母A或W在這個函數的文檔中并沒有出現，只是表明這個接受字符串參數的函數有不同版本，以A結尾的輸入參數類型為ASCII字符串，以W結尾的輸入參數類型為寬字符字符串。

導入函數，MSDN庫

導出函數，用來與其他程序和代碼進行交互時所使用的。通常，一個DLL會實現一個或多個功能函數，然后將它們導出，使得別的程序可以導入并使用這些函數。

DLL文件本身就是實現一些導出函數然后被EXE可執行文件使用的，因此導出函數在DLL文件中常見。

EXE文件里就很少會有導出函數，如果在EXE文件中發現了導出函數，會提供一些有用的信息。

2顯示了程序導入的DLL列表

3顯示了導入表

4列出了選中的DLL中所有可以被導入的函數（即DLL的導出函數）

5和6分別顯示運行程序時裝載的DLL版本額外信息，以及報告的錯誤。

7 靜態分析技術實踐

Kernel32.dll：FindFirstFile和FindNextFile函數值得關注，搜索一個目錄下的所有文件

User32.dll：圖形化界面的操作，SetWindowsHookEx函數時間諜軟件經常使用的，也是鍵盤記錄器用來接收鍵盤輸入的方法；RegisterHotKey，注冊熱鍵。

GDI32.dll：圖形化界面。

Advapi.dll：使用了注冊表。查看字符串，Software\Microsoft\Windows\CurrentVersion\Run，這是一個惡意代碼普遍使用的注冊表鍵值，控制Windows啟動時會自動裝載哪些程序。

結論

列表簡潔，加殼

8 PE文件頭與分節

PE文件格式：PE文件頭+分節

.text：CPU執行指令，所有其他節存儲數據和支持性的信息，唯一可以執行的節，也應該是唯一包含代碼的節。

.rdata：導入與導出函數信息，有些文件中包含.idata和.edata節，來存儲導入導出信息。

.data：全局數據，可以從程序的任何地方訪問到。本地數據不存儲在這個節。

.rsrc：可執行文件所使用的資源，如圖標、圖片、菜單項和字符串等，這些內容不可執行、

表1 Windows平臺可執行PE文件中的分節

PEview：分析PE文件

IMAGE_DOS_HEADERS和MS_DOS：歷史遺留問題，無價值

IMAGE_NT_HEADERS：NT文件頭，特征簽名始終相同，忽略

IMAGE_FILE_HEADER：文件基本信息

IMAGE_OPTIONAL_HEADER：subsystem指出是控制臺程序IMAGE_SUBSYSTEM_WINDOWS_CUI還是圖形界面程序IMAGE_SUBSYSTEM_WINDOWS_GUI

IMAGE_SECTION_HEADER：分節頭部，命名見表1，任何偏差都是可疑的。

Virtual Size虛擬大小，Size of Raw Data原始大小，兩個值應該相等或細小差異，由于內存和磁盤的對齊存在差異。

命名和大小異常，加殼。

Resource Hacker：查看.rsrc節

惡意程序經常會把一個嵌入的程序或者驅動放在資源節中，在程序運行之前，它們會把可執行文件或驅動提取出來。

PE文件工具：PEBrowser Professional、PE Explorer