TP最新版下载后怎么做好定性分析
取得TP最新版本, 完成下载仅仅是首个步骤。切实使数据发挥作用, 要依靠定性分析这一剖析工具。
别急着匆匆忙忙去跑模型, 要把已下载好的样本, 从容地丢进PE里, 仔细观察它到底是如何与系统交互打交道的, 留意注册表更改在了什么地方, 文件被写入到了哪个隐秘的角落, 网络请求是直接连接还是通过代理来进行, 这些留下的痕迹才是展开定性分析的起始点。
而后开展切进程内存的行为。能够运用Process Hacker或者火绒剑去抓取一回,着重留意注入的DLL以及可疑线程。鉴于有些恶意代码会隐匿极为深的回调函数, 要是不翻查内存根本没法找到。因而要记住把内存转储下来, 留作证据备用。
接着查看网络行为, 进行抓包操作, 从中过滤出与样本有关联的流量, 要是发觉它同海外IP频繁进行握手, 那么大概就是在回传数据, 而所谓的定性分析便是要找出这种隐蔽的通信通道。
到了末尾, 千万一定不要忘掉去检查数字签名, 与此同时还要查看时间戳。有一些病毒, 会通过窃取合法证书这种方式, 来伪装它自己, 可是时间戳以及文件校验值, 是不会被欺骗的。把哈希值投放到VirusTotal里面, 之后再去查看一下签名链是不是完整, 像这样做了之后心里就有了底。
要严谨地检查数字签名以及时间戳。有些病毒会通过窃取合法证书的方式来自我伪装, 然而时间戳和文件校验值不会被其蒙骗。将哈希值输入到VirusTotal里, 然后查看签名链是否完整, 这么做就能心里有底了。