前言

恶意代码是一种意图对计算机系统、网络和数据造成破坏、窃取、泄露和滥用等威胁的计算机程序。恶意代码可能会通过植入计算机病毒、木马、蠕虫、后门、间谍软件、广告软件等形式，而不被用户或安全机制所察觉，以达到攻击目的。

逆向分析是指通过研究软件或硬件的结构、算法、代码等方面的信息，来推断出它们的运行机制、功能、漏洞等信息的过程。逆向分析通常用于软件的反编译、漏洞挖掘、安全检测等领域。

动态分析是指在运行时/runtime对程序执行的代码进行跟踪、监测和分析的过程。通过动态分析可以了解程序的运行情况，发现潜在的错误和漏洞，优化程序的性能等。常见的动态分析方法包括调试等。

一、恶意代码分析和逆向基础之动态分析

1.利用网络扫描工具对目标进行扫描

1.1 工具介绍

1、Process Explorer

Process Explorer是一款由微软公司开发的Windows系统工具，它可以显示系统中正在运行的所有进程和其占用的系统资源情况，可以帮助用户更好地管理和优化系统性能。

2、Process Monitor

Process Monitor 是一款由微软公司开发的 Windows 系统性能监测工具，它能够监测并记录系统进程、文件系统、注册表和网络活动等关键信息，以帮助用户诊断和解决系统问题。

3、PEiD

PEiD是一种用于Windows二进制文件的可执行文件识别工具，用于检测和识别不同的可执行文件格式。它可以帮助用户识别虚假程序，并检查二进制文件是否被打包或加密。

PEiD的主要功能是查壳和脱壳。

4、Strings

查看目标程序有什么可打印字符，根据字符特征可以总结出病毒特征。

5、wireshark

Wireshark是一种网络协议分析器，可以抓取网络上的数据包并展示成清晰易懂的形式，可以用于网络故障排查、安全审计、网络性能优化等多种场景。

6、Regshot

Regshot是一个Windows注册表比较实用工具，用于捕获Windows操作系统中的注册表变化。它可以记录系统的当前状态并在以后的某个时间点重现该状态，以便比较两个不同时间点的注册表状态差异。

7、rundll32

rundll32是一种Windows操作系统的程序。它允许用户运行指定的动态链接库（DLL）文件中的函数。这个程序通常用于管理和调用系统内部的一些功能或软件相关的功能。

rem 运行服务器属性:
rundll32 printui.dll ,PrintUIEntry /s /t1 /n printer

rem 运行打印机属性:
rundll32 printui.dll ,PrintUIEntry /p /n \machine\printer

rem 在本地运行添加打印机向导:
rundll32 printui.dll ,PrintUIEntry /il

rem 在 \machine: 运行添加打印机向导
rundll32 printui.dll ,PrintUIEntry /il /c \Machine

rem 运行队列查看:
rundll32 printui.dll ,PrintUIEntry /o /n \machine\printer

rem 运行 inf 安装:
rundll32 printui.dll,PrintUIEntry /if /b “Test Printer” /f %windir%\inf\ntprint.inf /r “lpt1:” /m “AGFA-AccuSet v52.3”

rem 使用 inf 运行添加打印机向导:
rundll32 printui.dll,PrintUIEntry/ii/%windir%\inf\ntprint.in

rem 添加每个机器打印机连接:
rundll32 printui.dll,PrintUIEntry /ga /c \machine /n \machine\printer /j “LanMan Print Services”

rem 删除每个机器打印机连接:
rundll32 printui.dll,PrintUIEntry /gd /c \machine /n \machine\printer

rem 枚举每个机器打印机连接:
rundll32 printui.dll,PrintUIEntry /ge /c \machine

rem 用 inf 添加打印机驱动程序:
rundll32 printui.dll,PrintUIEntry /ia /c \machine /m “AGFA-AccuSet v52.3” /h “Intel” /v “Windows 2000 或 XP” /f %windir%\inf\ntprint.inf

rem 用 inf 添加打印机驱动程序:
rundll32 printui.dll,PrintUIEntry /ia /K /c \machine /m “AGFA-AccuSet v52.3” /h “Windows NT x86” /v 3

rem 删除打印机驱动程序:
rundll32 printui.dll,PrintUIEntry /dd /c \machine /m “AGFA-AccuSet v52.3” /h “Intel” /v “Windows 2000 或 XP”

rem 删除打印机驱动程序:
rundll32 printui.dll,PrintUIEntry /dd /K /c \machine /m “AGFA-AccuSet v52.3” /h “Windows NT x86” /v 3

rem 将打印机设为默认打印机:
rundll32 printui.dll,PrintUIEntry /y /n “printer”

rem 设置打印机注解:
rundll32 printui.dll,PrintUIEntry /Xs /n “printer” comment “My Cool Printer”

rem 取得打印机设置:
rundll32 printui.dll,PrintUIEntry /Xg /n “printer”

rem 取得文件中的打印机设置保存结果:
rundll32 printui.dll,PrintUIEntry /f “results.txt” /Xg /n “printer”

rem 设置打印机设置命令使用:
rundll32 printui.dll,PrintUIEntry /Xs /n “printer” /?

rem 将所有打印机设置存入一个文件:
rundll32 printui.dll,PrintUIEntry /Ss /n “printer” /a “file.dat”

rem 从一个文件还原所有打印机设置:
rundll32 printui.dll,PrintUIEntry /Sr /n “printer” /a “file.dat”

rem 将二级打印机信息存入一个文件:
rundll32 printui.dll,PrintUIEntry /Ss /n “printer” /a “file.dat” 2

rem 从一个文件还原打印机安全描述符:
rundll32 printui.dll,PrintUIEntry /Sr /n “printer” /a “file.dat” s

rem 从一个文件还原打印机全局 devmode 和打印机数据:
rundll32 printui.dll,PrintUIEntry /Sr /n “printer” /a “file.dat” g d

rem 从文件最少设置还原并分析端口名:
rundll32 printui.dll,PrintUIEntry /Sr /n “printer” /a “file.dat” m p