[[407623]]

本文轉載自微信公眾號「Bypass」，作者Bypass。轉載本文請聯系Bypass公眾號。

當服務器發生病毒入侵，使用殺毒軟件檢測到一個惡意程序，你刪除了它。但是過了幾天又發生了同樣的安全事件，很顯然惡意程序被沒有被清除干凈。我們需要知道這個惡意代碼到底做了什么，如何進行有效檢測，才能進一步消除它帶來的影響。

本文主要通過幾個簡單的步驟，分享惡意樣本分析的基本方法。

1、多引擎在線病毒掃描

找到了一個惡意樣本程序，通過多病毒引擎進行安全掃描，可以幫助你判斷文件是否為惡意程序。

VirSCAN：免費多引擎在線病毒掃描1.02版，支持47個殺毒引擎。

https://www.virscan.org/ 

VirusTotal：一個在線多殺毒引擎掃描的網站，使用70多種防病毒掃描程序進行檢測。

https://www.virustotal.com/gui/ 

2、文件哈希值

文件哈希值是惡意代碼的指紋，通過它用來確認文件是否被篡改，也可以通過HASH值查找惡意樣本，一般我們也可以使用多種哈希驗證文件的唯一性。

3、查找字符串

通過對程序中的字符串進行搜索，從而獲取程序功能提示。

Strings:

https://docs.microsoft.com/en-us/sysinternals/downloads/strings 

4、病毒查殼

使用PEiD檢測加殼，脫殼過程往往是很復雜的。

5、PE文件頭

PE文件頭包含了很多比較有用的信息，比如導入/導出函數、時間戳、資源節等信息。可通過獲取關鍵信息，來猜測惡意代碼的功能。

6、云沙箱分析

將惡意樣本上傳到微步云沙箱，通過威脅情報、靜態和動態行為分析，以發現惡意程序存在的異常。

微步云沙箱：

https://s.threatbook.cn/ 

7、動態行為分析

通過火絨劍對文件行為、注冊表行為、進程行為、網絡行為進行分析，捕獲惡意樣本特征。