老王教你怎樣快速分析惡意代碼

工欲善其事，必先利其器。希望這個帖子能為有興趣進入反病毒行業的朋友提供一些基本信息。

先說說硬件：
條件允許的情況下，2條不同網絡運營商提供的線路，2臺或以上的電腦，具體配置自己感覺滿意就行
雖然用虛擬機也可以，但難免某些惡意代碼有虛擬機檢測機制，所以能用真機就盡量用了


接下來是必備軟件：
Windows XP（別嫌棄老，老有老的好處，輕便+省事）
IDA Pro（雖然市面上還有別的反匯編工具，一是因為IDA強大，二是因為反病毒行業必備，如果哪位兄弟非要用別的，面試時被BS千萬別說沒提醒過。另外 Hex-rays的反編譯插件確實很強大，但是太貴了沒閑錢買，另一方面養成自己動手豐衣足食的好習慣后其實也不差那個插件）
OllyDbg（同上，行業必備。但說實話，個人很少用，不是說它不好，而是IDA的注釋太重要了，能靜態IDA的絕不調試，即便實在要調試，能用IDA自帶的調試器搞定的就直接搞定了，實在不行再換Olly）
WinDbg（同上，行業必備，調試驅動利器。和前者一樣，個人很少用，也不是說它不好，只不過大多驅動直接用IDA靜態也就夠了）
Wireshark（截數據包必備利器。和前者一樣，個人很少用，也不是說它不好，只是分析時我很少會真讓惡意代碼徹底跑起來，有需要或是靜態逆出來，或是直接從調試器里抓出來了）

還有幾款小軟件，個人比較喜歡，但不是必須的
010 Editor
DeDe
Ghost
Hiew
LordPE
WinHex

除此之外還需要一些監測小軟件，其實有很多免費的或共享的，但出于減少被惡意代碼忽悠的考慮，所以個人覺得能寫的還是自己寫好，就算不能寫，也盡量選個不知名的。

系統變化監測
API監測
Rootkit監測

其他用于測試的備用軟件：
各類服務器（HTTP, SMTP, FTP, IRC等等）
各類常見IM（QQ，MSN，YAHOO等等）
Microsoft Office（各個版本的安裝文件）
Adobe Acrobat Reader（各個版本的安裝文件）
Adobe Flash Player（各個版本的安裝文件）

最后提一下惡意代碼樣本的基本分析流程（不包含特征碼提?。?br />1. 恢復系統鏡像（避免在已感染的環境下被其他信息誤導）
2. 快速查看是否有可疑字符串
3. 快速查看代碼入口地址是否有被感染痕跡
4. 運行，監測并記錄系統變化以確定是否是惡意代碼
5. 如果需要的話，用IDA靜態分析
6. 如果需要的話，寫一些輔助腳本或代碼協助分析
7. 如果需要的話，用調試器調試
8. 如果需要的話，對相關域名，服務器，郵件地址等做背景調查
9. 文檔化相關內容
10. 備份所有相關文件

當然，對于在殺軟工作的朋友來說，通常還會需要提取特征碼(一般是在靜態分析之前），也可能會需要寫修復工具，但那些工作細節不同公司會有不同的要求和流程，這里就不多做討論了。