前言

恶意代码是一种意图对计算机系统、网络和数据造成破坏、窃取、泄露和滥用等威胁的计算机程序。恶意代码可能会通过植入计算机病毒、木马、蠕虫、后门、间谍软件、广告软件等形式，而不被用户或安全机制所察觉，以达到攻击目的。

逆向分析是指通过研究软件或硬件的结构、算法、代码等方面的信息，来推断出它们的运行机制、功能、漏洞等信息的过程。逆向分析通常用于软件的反编译、漏洞挖掘、安全检测等领域。

静态分析是一种通过分析程序代码或二进制文件的方式来了解其内部结构和运行方式的方法。它可以用于破解软件、识别漏洞和优化代码等方面，通常涉及反汇编、反编译和逆向工程等技术。

一、恶意代码分析和逆向基础之静态分析

1.利用网络扫描工具对目标进行扫描

1.1 工具介绍

1、VirusTotal

将文件上传至http://www.VirusTotal.com进行分析并查看报告。

从报告中可以看到这程序是否是病毒程序

2、PEiD

PEiD是一种用于Windows二进制文件的可执行文件识别工具，用于检测和识别不同的可执行文件格式。它可以帮助用户识别虚假程序，并检查二进制文件是否被打包或加密。

PEiD的主要功能是查壳和脱壳。

3、Strings

查看目标程序有什么可打印字符，根据字符特征可以总结出病毒特征。

4、PETools

PETools是一种Windows可执行文件的静态分析工具，主要用于检查文件的结构、文件中可执行代码的病毒、木马或者其他威胁，并提供反汇编、十六进制查看、导入/导出函数表查看等功能。

5、VirSCAN

VirSCAN是一种在线病毒扫描器，可以扫描文件和网站以检测其中的病毒和恶意软件。用户可以上传文件或输入网站地址，VirSCAN会对其进行扫描并提供检测结果和建议。

将文件上传至https://www.virscan.org/进行分析并查看报告。

6、Free UPX

Free UPX是一款专业的upx加壳压缩的工具软件，软件支持解压缩Windows执行文件格式如EXE，DLL，OCX，BPL，CPL，SYS，AX，ACM等。十分方便快捷，界面简约，布局直观清晰，操作简单，极易上手，是一款不可多得的利器。

7、linxerUnpacker

一款专用的脱壳工具

8、Resource Hacker

Resource Hacker是一个Windows应用程序，它允许用户查看、修改、添加、删除和提取Windows中应用程序和资源的可执行文件(EXE)、动态链接库(DLL)、控制面板文件(CPL)、屏幕保护程序(SCR)和设备驱动程序(OCX、VXD)等文件中的资源。它可以对资源中的图标、位图、动画、对话框、加速器、字符串、菜单、箭头、指针等进行编辑和修改。

二、加壳和脱壳

1.peid实现加壳和脱壳分析

1.1 peid查壳

1、打开软件后我们可以单击右上角的三个点的按钮，会弹出一个选择文件的窗口，我们单击我们需要查壳的文件，再点击右下角的 打开 按钮。

2、也可以直接把需要查壳的软件拖到PEiD的界面里，同样能载入到PEiD里（在需要查壳的软件上面按住鼠标左键，再拖动你的鼠标的PEiD的窗口里，最后松开你的鼠标左键）

3、然后我们就可以看到十分详细的信息，比如壳的信息，入口点的位置，区段……这里我们查壳出来显示是UPX的壳，也是十分准确的

1.2 peid脱壳

1、把需要进行脱壳的exe文件拖到里面即可，这个是暗组2008vstart软件的信息。从上面我们可以看到软件加的UPX的壳，版本是0.89.6。然后点击“=》”打开插件列表。如图：

2、还可以专门针对一些壳进行脱壳，效果要比通用脱壳器好。

3、此例子中，我们使用unpacker forupx插件进行脱壳。默认的脱壳后的文件放置位置在peid的根目录下。文件名为原文件名前加un字样，脱壳后我们再查看壳：

4、发现壳已经脱掉，程序为VB编写。如果程序可以运行，则说明脱壳成功。如果不能运行，可以修改import table等方式解决。