前言

       本系列課程名為《惡意程序分析與高級對抗技術(shù)》，重點給大家介紹各種類型惡意程序的基本分析方法以及針對于某一批類似樣本的高級對抗技術(shù)，利用高級查殺技術(shù)，從而實現(xiàn)對惡意程序的通殺。

課程概述

       為了使大家能夠循序漸進地理解相應(yīng)的技術(shù)，本系列課程主要分為五個部分進行講解。其中的概論篇主要是對課程的一個總體介紹，以及課程中所使用的一些分析工具的簡單講解，并包含課程預(yù)告等信息。基礎(chǔ)篇主要教給大家的是快速對惡意程序進行判斷的技巧，力求以最少最簡單的工具實現(xiàn)對目標樣本惡意與否的判斷。以求讓大家了解各種惡意程序的特點，打消大家對惡意程序的恐懼。在進階篇里面主要討論的是如何對惡意程序進行完整詳細的分析，需要結(jié)合對應(yīng)的靜態(tài)與動態(tài)分析工具，從而全面的了解一個惡意程序的行為，進而為寫出專殺工具打下基礎(chǔ)。高級篇里面主要講解的是如何對一批類似樣本實現(xiàn)通殺，有別于傳統(tǒng)的病毒特征，高級特征的編寫需要在對大量樣本進行深入分析的基礎(chǔ)上，運用創(chuàng)新的思維以程序的形式來對抗大批量的惡意程序。重點會介紹啟發(fā)式查殺以及基本的機器學(xué)習(xí)方式來對抗不同類型的惡意程序的技術(shù)。補遺篇的內(nèi)容則是對之前幾部分內(nèi)容的補充說明，將之前課程中沒有說清楚的以及沒有說完整的技術(shù)再給大家從另一個角度講一遍。相信通過本系列課程的學(xué)習(xí)，不單單能夠讓大家掌握惡意程序分析的基本技巧，更加能夠拓寬大家的思維，讓大家知道，反病毒領(lǐng)域的工作，不單單是病毒分析，不單單是特征的提取，其實還有更加廣闊的世界是值得我們?nèi)ヌ剿鞯?，從而在這場沒有硝煙的戰(zhàn)場中，貢獻自己的智慧。

常用工具簡介

       正所謂“工欲善其事，必先利其器”，這一觀點在我們病毒分析領(lǐng)域尤為重要。優(yōu)秀的工具對我們的工作往往能夠起到事半功倍的效果，因此從某種程度上來講，病毒分析其實就是建立在對相關(guān)編程語言深入理解的基礎(chǔ)上，對各種分析工具綜合運用的一種技術(shù)。以下所列出的是我在本系列課程中重點使用的一些工具：

       1、靜態(tài)分析工具：Hiew、IDA等

       在我們病毒分析的日常工作中，大部分時間是利用Hiew這款工具對目標程序進行分析的，只有在目標程序比較復(fù)雜，或者需要寫分析報告的時候，才會使用IDA進行分析。那么在本系列的課程中也是如此，在基礎(chǔ)篇中，我主要會使用Hiew來為大家演示樣本的快速判斷技術(shù)，而在進階篇里面，則主要依靠IDA來對目標樣本進行詳細分析。

       2、動態(tài)分析工具：OllyDbg、WinDbg以及火絨劍等

       一般來說，用戶層（Ring3層）的動態(tài)調(diào)試，OD是我們的不二選擇，而在內(nèi)核層（Ring0層）或者在軟件排錯領(lǐng)域，我們更多地會選擇WinDbg。而火絨劍則主要用于目標樣本的動態(tài)監(jiān)控，可以獲取到目標樣本的詳細行為。

       3、虛擬機工具及操作系統(tǒng)：VMWare、Windows XP、Windows 7 64位版本

       由于我們分析的樣本可能具有極強的破壞性，因此如果需要將目標樣本運行起來進行分析的話，那么一定要在虛擬中進行。我所使用的是VMWare，并且在虛擬機里面安裝了Windows XP操作系統(tǒng)用于分析32位程序，如果需要動態(tài)分析64位程序，我在虛擬機里面使用的是Windows 7的64位版本。

       以上是對本系列課程中主要使用的工具的簡單介紹，事實上在應(yīng)對不同的樣本的時候，我們還會使用其它的一些輔助分析工具，那么這些工具會在具體的課程中再進行介紹。

小結(jié)

       以上就是本系列課程的簡單介紹與常用工具的講解。我會在未來的課程中給大家循序漸進地剖析惡意程序的分析方法以及對抗技術(shù)。希望能夠讓大家早日成為計算機網(wǎng)絡(luò)安全領(lǐng)域的杰出工程師。