利用AI+大数据的方式分析恶意样本（一）

• 《利用AI+大数据的方式分析恶意样本（一）》：通过四种方法静态分析恶意软件
• 《利用AI+大数据的方式分析恶意样本（二）》：x86架构反汇编基本原理及实践
• 《利用AI+大数据的方式分析恶意样本（三）》：通过动态运行恶意软件来解析其功能
• 《利用AI+大数据的方式分析恶意样本（四）》：通过提取特征来构建恶意代码样本相互关联关系
• 《利用AI+大数据的方式分析恶意样本（五）》：一些常用的机器学习方法
• 《利用AI+大数据的方式分析恶意样本（六）》：以多种测试标准的评价方法
• 《利用AI+大数据的方式分析恶意样本（七）》：构建基于机器学习的恶意代码检测器
• 《利用AI+大数据的方式分析恶意样本（八）》：可视化恶意软件的趋势
• 《利用AI+大数据的方式分析恶意样本（九）》：介绍深度学习基础
• 《利用AI+大数据的方式分析恶意样本（十）》：基于卷积神经网络的恶意代码家族标注
• 《利用AI+大数据的方式分析恶意样本（十一）》：关于利用卷积神经网络进行恶意代码检测的一些改进方法
• 《利用AI+大数据的方式分析恶意样本（十二）》：通过AI对抗攻击来混淆基于机器学习的恶意样本检测
• 《利用AI+大数据的方式分析恶意样本（十三）》：Cuckoo沙箱的搭建教程
• 《利用AI+大数据的方式分析恶意样本（十四）》：二进制样本分析之脱壳方法研究

本文提供四种静态分析恶意软件的方法

（笔者水平有限，如有错误，在所难免，望读者加以指正，并且笔者是一个热爱研究技术的小学生，谦虚且爱学习，博客文章欢迎指正，若有侵犯知识产权，务必联系我）

在此先说明一点：

本系列文章是以理论+实践的形式，面向大数据时代，解析恶意软件中的种种神秘。 本系列文章主要为 《基于数据科学的恶意软件分析》 一书，辅以 《恶意代码分析实战》 一书以及 《windows核心编程》 一书的读后笔记及本人在恶意代码分析领域的一些案例讲解。

本系列文章中的内容如果涉及原作者的内容较多，则我设为免费，如果其中我添加的内容居多，则为栏目收费内容，请大家理解。

本系列文章的发表主要是为了激励自己，面向大佬编程，尤其是想为安全行业做些力所能及的事情，带一带二进制刚入门的同学更好的学习恶意样本分析。

同时本系列文章旨在打造精品文章，希望引导大家尊重知识，尊重安全领域的从业人士，设置9.9元是想为自己挣一碗拉面钱更贴进步，吃饱了才好继续读书进步。

本栏目系列的地址为https://blog.csdn.net/acsuccess/category_9818048.html

原作者若认为有侵犯知识产权，可随时联系我，我的邮箱地址为mzgao@njnet.edu.cn，欢迎各位技术大咖来信交流切磋

环境及工具安装

• Ubuntu16
• python 2
• strings（系统自带）
• icountils（参照下面命令安装）
• pefile(python 库)
• capstone（python 库）（线性反汇编库）

使用pefile查看exe文件的结构

python模块pefile已成为解析PE文件的一个行业标准的恶意软件分析库。

可以结合看雪上这个实验做相关了解

另外关于PE文件的结构，有详细了解兴趣的可以参照武大在网易云的这门课程

• 导入pefile模块
• 实例化pefile.PE，它是PE模块实现的核心类。
• 我们在这里加载的是irbot.exe这个恶意软件。
• 下面解析PE软件，打印相关节信息

输出结果：

其中各个字段代表含义如下：

• Section：节的名称
• base_Address: 加载这些节的虚拟内存基址
• need_Size: 节被加载后所需要的内存大小
• data_Size: 该节在该内存块中所占用的数据量

使用pefile输出PE文件的导入函数列表

输出结果

• 可以看出此文件调用了两个动态链接库dll文件
• 其中有创建文件，对文件进行读写的操作函数
• 有创建线程，进程，加载其他动态库，读取环境变量等函数接口

使用icoutils提取PE文件的图像

存在某些恶意软件为了诱使用户点击来运行，经常使用常用软件的图标来伪装自己

使用安装好的icoutils工具包进行提取，命令如下：

关于wrestool的命令参数可参考该url，上面有详细的参数介绍和示例。

下面为提取出的图标文件

• 可以看出该恶意软件伪造为pdf图标诱骗用户进行点击。

strings工具查看PE文件中的字符串

• 可以很清楚的看到该文件有明显的网络行为

使用pefile和capstone线性反汇编PE文件

静态分析就需要反汇编二进制文件，但要达到完美的反汇编效果是不可能的，所以我们只能通过不完善的方法来完善这项工作。

我们在这里使用线性反汇编技术，这涉及在可移植可执行文件中识别那些与其x86程序代码相对应的连续字节序列，然后解码这些字节。

这种方法的局限性在于它忽略了cpu在程序执行过程中如何解码指令的细微差别，此外，它也无法解析恶意软件作者有时使用的使程序更难分析的各种混淆。

对于逆向工程的其他方法，如IDA Pro等专业级反汇编器使用的更加复杂的反汇编方法，这些方法实际上是模拟或者推理程序执行，以发现程序可能通过一系列条件分治达到哪些汇编指令，尽管这种类型的反汇编比线性反汇编更加精确，但它比线性反汇编方法占用的cpu资源要多得多。

代码如下：

输出结果如下：

• 个人感觉线性反汇编还是存在一定的偏差

限制静态分析的因素

加壳

是一种以压缩、加密或以其他方式破坏其恶意程序主题的过程，当恶意软件运行时，它会自行解包，然后开始执行。

资源混淆

一种对抗检测和分析的技术，混淆了例如字符串和图形图像等程序资源存储在磁盘上的方式，然后在恶意软件运行时对它们进行混淆还原，以便恶意程序可以使用。

例如一个简单的混淆操作是将值1添加到存储在PE资源部分的图像和字符串中的所有字节，然后在运行时从所有数据中都减去1

反汇编技术

旨在利用先进反汇编技术的局限性，向恶意软件分析师隐藏代码，或使恶意软件分析师认为存储在磁盘上的代码块中包含了与其实际指令不同的指令

动态下载数据