0xbc

 小魯最近工作碰了一些逆向工程跟惡意程式分析 菜雞如我決定把一些過程記錄在HackMD，大概有七個主題 希望能幫到這方面跟我一樣的初學者，有問題都歡迎留言 目錄 https://hackmd.io/@0xbc000/H1Z9yJcmw 小魯還是菜鳥請多包涵 😛 -0xbc

前言 工作的關係，最近接觸了一點 Malware跟逆向的東西，把常用的工具跟用途紀錄一下，怕以後自己忘記....希望能不定時更新  本篇會分為四個部分來記錄 執行環境 靜態分析 動態分析 以及最後的懶人包 執行環境 最常見的就是Windows，個人偏好用Windows 7 64 bits，很常見也可以裝很多東西，惡意程式大多都是針對Windows 而設計的 另一個很好用的執行環境是 REMnux, 裡面已經預載了很多常用的工具接下來會提到 連結可以參考這裏  https://remnux.org/  以及官方文檔  https://docs.remnux.org/ 靜態分析 顧名思義，不想執行惡意程式但想看看裡頭的內容，針對Windows的話可以用下列工具 PE Studio - 需要額外安裝。可以做初步的分析，同時可以知道是否有Anti-debug/analysis 阻擋著我們 IDA - 逆向標配，可以看assembly，同時也具有Debug功能 Ghidra PE Bear/ PE View - 可以針對PE檔案格式做深入研究 oledump.py - 針對Office格式(Word, Excel)分析裡面的Macro pdf-parser.py - 針對PDF格式分析裡面的Object 動態分析 靜態分析完了之後想驗證自己的想法，可以使用動態分析 動態分析方法比較多種，但大致可以分成自動跟手動， 本魯比較偷懶，比較常用自動分析 Cuckoo - 沙盒標配，資料相當完整，但偶而會被Anti-debug/analysis的招式抓到直接不執行 ANY.RUN - 最簡單就是丟到Cuckoo這類的沙盒，不過最近發現了個很好用且免費的工具，他可以直接跟沙盒內的Windows VM做互動。唯一缺點是只支援Windows平台 對於不屑用沙箱的逆向大神們，先受我一拜........ 喜歡手動的話，也是有些工具可以推薦 Process Hacker - 高配版工作管理員，記錄所有執行中的程式以及詳細內容 (Mutex, process handle.....) 一邊執行一邊看著，通常可以很好發現 Process Injection的特徵 Process Explorer - 記錄所有API usage，但建議搭配視覺化工具像是ProcDOT，比較好看一點，或至少要用內建的