大神教你用python识别电脑上面的恶意软件

严格来说，当连接到服务器时，这个程序被设计常驻在目标计算机上。在控制目标后，攻击者可以通过控制目标计算机，执行控制指令，例如打开 络摄像头偷偷捕获视频、提取目标的地理位置和桌面的截图，以及从目标机器中提取相关文件等。

码字不易废话两句：有需要学习资料的或者有技术问题交流“点击”即可

一、 微软Windows可移植可执行文件格式

要进行恶意软件静态分析，你需要了解Windows PE文件格式，该格式描述了如和等当今Windows程序文件的结构，并定义了它们存储数据的方式。PE文件包含x86指令、图像和文本等数据，以及程序运行所需的元数据。

PE格式最初的设计是用来进行下面的操作。

1. 告诉Windows如何将程序加载到内存中

PE格式描述了文件的哪些块应该加载到内存中，以及在哪里加载。它还告诉你，Windows应该在程序代码里的哪个位置开始执行程序，以及哪些动态链接代码库应该加载到内存中。

2. 为运行程序提供在执行过程中可能使用的媒体（或资源）

这些资源可以包括字符串，如对话框或控制台输出的字符串，以及图像或视频。

3. 提供安全数据，例如数字代码签名

PE格式通过利用图片中所示的一系列结构来完成以上工作。

如代码清单1-3所示，我们从PE文件五个不同的节中提取了数据：和。输出是以五元组的形式给出，每提取一个PE节对应一个元素。每一行的第一个条目标识PE节。（你可以忽略一系列的x00空字节，它们只是C语言样式的空字符串终止符。）其余字段告诉我们，一旦将每个节被加载到内存中，它的内存利用率将是多少，以及一旦被加载，它将在内存中的何处被找到。

例如，是加载这些节的虚拟内存地址基址，也可以将其视为节的内存地址基址。在虚拟大小（）字段中的指定了节被加载后所需的内存大小。第三个字段中的表示该节将在该内存块中所占用的数据量。

除了使用解析程序的节之外，我们还可以使用它列出二进制文件将加载的文件，以及它将在这些文件中所请求的函数调用。我们可以通过镜像（）PE文件的来实现这一点。代码清单1-4显示了如何使用镜像的IAT。

4. 清单1-4 从ircbot.exe中提取导入信息

代码清单1-4会生成如代码清单1-5所示的输出（为了简洁起见，输出进行了截断）。

这些行表示将尝试把攻击者指定的文件下载到目标计算机上。

我们来尝试分析另一个。代码清单1-8所示的字符串镜像表明可以起到Web服务器的作用，在目标机器上侦听来自攻击者的连接。

4. 代码清单1-8 显示恶意软件有一个攻击者可以连接的HTTP服务器的字符串输出

代码清单1-8显示了用于实现HTTP服务器的各种HTTP样板程序。此HTTP服务器可能允许攻击者通过HTTP连接到目标计算机以发出命令，例如获取受害者桌面的屏幕截图并将其回传给攻击者的命令。

我们在整个代码清单中看到了HTTP功能的证据。例如，从资源请求数据的GET方法?。这一行是一个返回状态代码200的HTTP字符串，表明HTTP 络事务都运行良好，而表明HTTP服务器的名称是，这是附加的一个内置HTTP服务器。

所有这些信息都有助于理解和阻止特定的恶意软件样本或恶意活动。例如，知道恶意软件样本有一个HTTP服务器，当你连接到它时，它会输出特定的字符串，这样你就可以借此扫描你的 络来识别受感染的主机。

八、小结

你了解了定义操作系统和文件的PE文件格式，还了解了如何使用库解析实际场景中的恶意软件二进制文件。

你还使用图像分析和字符串分析等静态分析技术，从恶意软件样本中提取更多的信息。

以上就是小编今天为大家带来的内容，小编本身就是一名python开发工程师，我自己花了三天时间整理了一套python学习教程，从最基础的python脚本到web开发，爬虫，数据分析，数据可视化，机器学习，等，这些资料有想要的小伙伴” 点击 即可领取

文章知识点与官方知识档案匹配，可进一步学习相关知识Python入门技能树首页概览214586 人正在系统学习中