前言

       本系列課程名為《惡意程序分析與高級對抗技術(shù)》，重點(diǎn)給大家介紹各種類型惡意程序的基本分析方法以及針對于某一批類似樣本的高級對抗技術(shù)，利用高級查殺技術(shù)，從而實(shí)現(xiàn)對惡意程序的通殺。

課程概述

       為了使大家能夠循序漸進(jìn)地理解相應(yīng)的技術(shù)，本系列課程主要分為五個(gè)部分進(jìn)行講解。其中的概論篇主要是對課程的一個(gè)總體介紹，以及課程中所使用的一些分析工具的簡單講解，并包含課程預(yù)告等信息。基礎(chǔ)篇主要教給大家的是快速對惡意程序進(jìn)行判斷的技巧，力求以最少最簡單的工具實(shí)現(xiàn)對目標(biāo)樣本惡意與否的判斷。以求讓大家了解各種惡意程序的特點(diǎn)，打消大家對惡意程序的恐懼。在進(jìn)階篇里面主要討論的是如何對惡意程序進(jìn)行完整詳細(xì)的分析，需要結(jié)合對應(yīng)的靜態(tài)與動態(tài)分析工具，從而全面的了解一個(gè)惡意程序的行為，進(jìn)而為寫出專殺工具打下基礎(chǔ)。高級篇里面主要講解的是如何對一批類似樣本實(shí)現(xiàn)通殺，有別于傳統(tǒng)的病毒特征，高級特征的編寫需要在對大量樣本進(jìn)行深入分析的基礎(chǔ)上，運(yùn)用創(chuàng)新的思維以程序的形式來對抗大批量的惡意程序。重點(diǎn)會介紹啟發(fā)式查殺以及基本的機(jī)器學(xué)習(xí)方式來對抗不同類型的惡意程序的技術(shù)。補(bǔ)遺篇的內(nèi)容則是對之前幾部分內(nèi)容的補(bǔ)充說明，將之前課程中沒有說清楚的以及沒有說完整的技術(shù)再給大家從另一個(gè)角度講一遍。相信通過本系列課程的學(xué)習(xí)，不單單能夠讓大家掌握惡意程序分析的基本技巧，更加能夠拓寬大家的思維，讓大家知道，反病毒領(lǐng)域的工作，不單單是病毒分析，不單單是特征的提取，其實(shí)還有更加廣闊的世界是值得我們?nèi)ヌ剿鞯模瑥亩谶@場沒有硝煙的戰(zhàn)場中，貢獻(xiàn)自己的智慧。

常用工具簡介

       正所謂“工欲善其事，必先利其器”，這一觀點(diǎn)在我們病毒分析領(lǐng)域尤為重要。優(yōu)秀的工具對我們的工作往往能夠起到事半功倍的效果，因此從某種程度上來講，病毒分析其實(shí)就是建立在對相關(guān)編程語言深入理解的基礎(chǔ)上，對各種分析工具綜合運(yùn)用的一種技術(shù)。以下所列出的是我在本系列課程中重點(diǎn)使用的一些工具：

       1、靜態(tài)分析工具：Hiew、IDA等

       在我們病毒分析的日常工作中，大部分時(shí)間是利用Hiew這款工具對目標(biāo)程序進(jìn)行分析的，只有在目標(biāo)程序比較復(fù)雜，或者需要寫分析報(bào)告的時(shí)候，才會使用IDA進(jìn)行分析。那么在本系列的課程中也是如此，在基礎(chǔ)篇中，我主要會使用Hiew來為大家演示樣本的快速判斷技術(shù)，而在進(jìn)階篇里面，則主要依靠IDA來對目標(biāo)樣本進(jìn)行詳細(xì)分析。

       2、動態(tài)分析工具：OllyDbg、WinDbg以及火絨劍等

       一般來說，用戶層（Ring3層）的動態(tài)調(diào)試，OD是我們的不二選擇，而在內(nèi)核層（Ring0層）或者在軟件排錯領(lǐng)域，我們更多地會選擇WinDbg。而火絨劍則主要用于目標(biāo)樣本的動態(tài)監(jiān)控，可以獲取到目標(biāo)樣本的詳細(xì)行為。

       3、虛擬機(jī)工具及操作系統(tǒng)：VMWare、Windows XP、Windows 7 64位版本

       由于我們分析的樣本可能具有極強(qiáng)的破壞性，因此如果需要將目標(biāo)樣本運(yùn)行起來進(jìn)行分析的話，那么一定要在虛擬中進(jìn)行。我所使用的是VMWare，并且在虛擬機(jī)里面安裝了Windows XP操作系統(tǒng)用于分析32位程序，如果需要動態(tài)分析64位程序，我在虛擬機(jī)里面使用的是Windows 7的64位版本。

       以上是對本系列課程中主要使用的工具的簡單介紹，事實(shí)上在應(yīng)對不同的樣本的時(shí)候，我們還會使用其它的一些輔助分析工具，那么這些工具會在具體的課程中再進(jìn)行介紹。

小結(jié)

       以上就是本系列課程的簡單介紹與常用工具的講解。我會在未來的課程中給大家循序漸進(jìn)地剖析惡意程序的分析方法以及對抗技術(shù)。希望能夠讓大家早日成為計(jì)算機(jī)網(wǎng)絡(luò)安全領(lǐng)域的杰出工程師。