还剩18页未读,继续阅读
本资源只提供10页预览,全部文档请下载后查看!喜欢就下载吧,查找使用更方便
文本内容:
部分软件介绍PE此次课件介绍了文件及相关软件掌握文件的结构分析及如何使用PE PE PE软件是进行恶意代码分析和挖掘技术的关键本课程将介绍软件的作用,PE使用方法和相关特性,帮助研究人员分析和反制恶意代码的攻击什么是软件?PE软件文件工具PE PE PE是指一类用于分析、修是指可执行文提供诸如反汇编、静态Windows改运行时可执件和库文件,是分析和动态调试等功能,Windows行文件()和库文可执行文件的是对恶意代码进行分析EXE Windows件,也称文件的工具一种标准格式和调试时必不可少的工PE软件具软件的应用PE反汇编1将机器码转换为易于读懂的汇编语言,便于分析代码静态分析2通过查看文件的内容,了解程PE序的结构、变量、函数和调用,帮动态调试3助分析程序行为通过让程序以调试模式运行,可实时查看和修改代码执行状态,帮助发现和修复程序漏洞软件的特点PE支持动态调试和钩取•支持多种编程语言•支持多种操作系统•内置反病毒扫描引擎•可与其他软件无缝集成•常见的软件有哪些PEIDA ProOllyDbg反汇编及静态分析软件,被称为反汇编之神针对平台的动态调试工具“”Windowsx64dbg PE Explorer支持位和位系统的开源调试功能强大的文件编辑器和资源编辑器3264Windows PE工具软件介绍OllyDbg简介特点作用123一款平台下支持位和位可用于恶意代码分析、Windows3264的动态调试工具操作系统;漏洞挖掘、代码优化Windows可通过插件支持多种以及软件逆向工程不同的文件格式;支持多种汇编语言软件介绍IDA Pro分类特点反汇编及静态分析软件支持多个平台,多种文件格式,多种语言;抽象符号执行引擎;自动识别算法和操作系统调用;提供构建插件SDK软件介绍WinDbg常见用途WinDbg是微软提供的全平台调试器,具备动态分析对操作系统的调试,特别是内核调Windows和静态分析功能,支持各种文件格式和汇编试常用于或debug driverkernel mode语言下的软件特点具有强大的调试功能,如调试远程机器、内存泄漏和汇编代码分析等软件介绍Immunity Debugger简介基于的平台下的动态调试器OllyDbg Windows作用用于编写和调试漏洞利用代码特点支持脚本;支持多种架构;内置编译器Python CPUPython软件介绍x64dbg简介特点作用一款开源的平完全免费且开源;支持可用于调试各种应用程Windows台下的动态调试器和架构;具有序,特别是恶意代码和x64x86汇编级别的调试能力;漏洞利用代码可加载回调来实现更多功能软件介绍PEExplorer分类1一款功能强大的文件编辑器和PE资源编辑器作用2可用于多种文件分析,资源编PE辑和反汇编特点3内置,可直接查VB decompiler看和修改脚本代码;可以分析VB和还原程序调用函数的过程,深入了解文件的结构和执行过程PE软件介绍PE-Scrambler界面Adepteq出品的可对文件执行混易于使用且功能强大的界面,可自定义混淆PE-Scrambler PE淆、加密、代码移动,等操作,模式,提供多种保护方案API Hooking提高恶意代码被检测和分析的难度,具有很强的防御性资料提供详细的开发者文档,支持多种编程语言接口软件介绍HIEW全称作用特点123是一款十分通用的文具有十分友好的用户Hackers ViewEditor件编辑器,可用于界面,支持多种文件PE文件或其他二进制文格式显示;可执行简件的查看和编辑单的搜索替换,支持位和位1632反汇编Windows软件介绍ResourceHacker界面资料是编译器辅助工具,可用提供详细的开发者文档和使用教程,支持多ResourceHacker于编译后的应用程序中提取,修改种文件格式可执行资源合并、图标更换、Windows或添加资源字符串更改等功能示例可对文件进行资源移除、编辑、添加或替PE换等操作,并支持多种文件格式的导入和导出软件介绍Exeinfo PE作用1用于文件的格式和规范检查,能够检测程序内部的错误和资源文Windows PE件的完整性分类2是一款易于使用的查看工具,可以快速查看文件的属性、结构、导入和输PEPE出特点3支持多语言、多种文件格式;检测程序版本和错误信息;提供高级扫描和分析比较流行的软件有哪些?PEIDAP PeStudioPE-iD的插件,用于一款用于对文件进行用于静态分析,可以IDA ProPEPE提高反汇编的效率和准安全性检测,查找漏洞快速查找程序中的指PE确率和异常的工具定信息简述的使用方法OllyDbg步骤1打开,选择要调试的
1.OllyDbg程序菜单栏选择运行开始
2.“”注意事项2调试使用断点功能在需要
3.“”的位置添加断点按或继添加断点时需要注意是否对该条指
4.F9“续按钮开启调试令有影响;调试过程中需要时刻注”意程序是否被污染或篡改简述的使用方法IDA Pro步骤注意事项12打开,选择要分析的程序反汇编和分析需要结合程序语言和架构
1.IDA Pro或库文件菜单栏选择分析开始进行,需要对汇编语言有一定的基础知
2.“”反汇编和静态分析使用鼠标右键识;使用复杂插件时需要查看文档了解
3.快速查看函数、变量或地址等信息使用方法
4.使用插件增强分析能力简述的使用方法WinDbg步骤注意事项打开,选择要调试的程序或附加功能强大,指令复杂;需要对
1.WinDbg WinDbg到正在运行的进程使用启动调试会话内核和汇编代码有深入了解
2.F5Windows使用符号查找和运行相关指令
3.简述的使用方法x64dbg步骤1打开,选择要调试的
1.x64dbg程序载入程序后,点击开始
2.“注意事项2调试,或使用启动调试”F
93.添加断点或动态修改变量等等可运行在不安装的情况下,x64dbg需解压缩后即可执行;编译器会自动生成信息的,使用程Debug PE序时要注意不要使用优化编译。