当前课程知识点:计算机病毒分析(慕课) > 第二章、静态基础分析技术 > 2.6 链接库与函数 > 2.6 链接库与函数
2.6知识点:链接库与函数
1.引入表
*计算机病毒代码会调用动态链接库中的函数
*通过链接将计算机病毒代码与动态链接库连接在一起
*链接的方法
静态链接
运行时链接
动态链接
2.静态链接
*静态链接是Windows平台链接代码库最不常用的方法,在UNIX和Linux程序中是比较常见的。
*当一个库被静态链接到可执行程序时,所有这个库中的代码都会复制到可执行程序中去。 PE文件头中没有链接库的信息
*可执行程序体积大
*占用内存空间
3.运行时链接
*虽然运行时链接在合法程序中并不流行,但是恶意代码中是常用的,特别是当恶意代码被加壳或混淆的时候。
*使用运行时链接的可执行程序,只有当需要使用函数时,才链接到库,而并不是像动态链接模式一样在程序启动时就会链接。
*LoadLibrary
*GetProcAddress
4动态链接
*在所有方法中,动态链接是最常见的,对于恶意代码分析师也应该是最关注的。
*当代码库被动态链接时,宿主操作系统会在程序被装载时搜索所需的代码库,如果程序调用了被链接的库函数,这个函数会在代码库中执行。
5.基于链接的分析
*PE文件头列出了计算机病毒代码所需要的所有动态链接库和函数
*动态链接库和函数名字可以用来分析计算机病毒的功能
*URLDownloadToFile()提示计算机病毒会从Internet上下载一个文件
6.Dependency Walker工具
包含在Visual Studio的一些版本与其他微软开发包中,支持列出可执行文件的动态链接函数。
7.导入函数
PE文件头中也包含了可执行文件使用的特定函数相关信息。
微软通过MSDN中可以查到Windows API的详细说明文档
8.加壳程序的导入函数
9.导出函数
与导入函数类似,DLL和EXE的导出函数,是用来与其他程序和代码进行交互时所使用的。
通常,一个DLL会实现一个或多个功能函数,然后将它们导出,使得别的程序可以导入并使用这些函数。
PE文件中也包含了一个文件中导出了哪些函数信息。
-1.1 计算机病毒的定义和类型
-1.2 计算机病毒分析的目标
-1.3 计算机病毒分析技术概述
-第一单元习题
-2.1 杀毒软件
--2.1 杀毒软件
-2.2 哈希值:恶意代码指纹
-2.3 特征字符串
-2.4 加壳与混淆
-2.5 PE文件格式
-2.6 链接库与函数
-第二单元习题
-实验报告
-3.1 虚拟机的结构
-3.2 创建虚拟机
-3.3 使用虚拟机
-第三单元习题
-4.1 沙箱分析
--4.1 沙箱分析
-4.2 运行病毒和进程监视
-4.3 Process Explorer和Regshot
--4.3 Process Explorer和Regshot
-4.4 网络模拟
--4.4 网络模拟
-第四单元习题
-实验报告
-5.1 逆向工程
--5.1 逆向工程
-5.2 x86体系结构
-5.3 CPU寄存器
-5.4 汇编指令
--5.4 汇编指令
-5.5 栈操作
--5.5 栈操作
-第五单元习题
-6.1 加载可执行文件
-6.2 IDA Pro窗口
-6.3 IDA Pro 导航
-6.4 交叉引用
--6.4 交叉引用
-6.5 函数分析
--6.5 函数分析
-6.6 使用图形选项
-6.7 增强反汇编
-第六单元练习
-实验报告
-7.1 识别汇编中的C语言代码结构
-7.2 识别if分支结构
-7.3 识别循环
--7.3 识别循环
-7.4 识别函数调用
-7.5 识别switch结构
-7.6 识别数组、结构体、链表
-第七单元练习
-实验报告
-8.1 Windows API
-8.2 Windows 注册表
-8.3 网络API
-8.4 跟踪病毒运行
-8.5 互斥量
--8.5 互斥量
-8.6 异常处理、模式、Native API
-第八单元练习
-实验报告
-9.1 调试器介绍
-9.2使用调试器
-9.3使用断点暂停执行
-9.4 断点类型
--9.4 断点类型
-9.5异常
--9.5 异常
-9.6调试器修改可执行文件
-第九单元练习
-10.1 Ollydbg加载恶意代码
-10.2 Ollydbg的窗口
-10.3 内存映射
-10.4 查看线程、栈、代码
-10.5 断点
--10.5 断点
-10.6加载DLL、跟踪
-10.7异常处理、修补
-10.8分析shellcode、协助功能
-10.9插件、脚本调试
-第十单元练习
-实验报告
-11.1驱动与内核代码
-11.2使用WinDbg
-11.3微软符号表
-11.4内核调试
-11.5Rootkit
-第十一单元作业
-12.1下载器、启动器和后门
-12.2远程控制和僵尸网络
-12.3登录凭证窃密器
-12.4存活机制和windows注册表
-12.5特洛伊木马化二进制文件
-12.6DLL加载顺序劫持
-12.7权限提升与用户态Rootkit
-第十二章练习
-13.1启动器与进程注入
-13.2进程替换
-13.3Hook注入
-13.4Detours与APC注入
-第十三单元练习
-14.1加密算法的目的和简单的加密算法
-14.2简单的加密策略
-14.3常见的加密算法
-14.4自定义加密
-14.5解密
--14.5 解密
-第十四单元练习
-期末考试