当前课程知识点:计算机病毒分析(慕课) > 第六章、IDA Pro > 6.1 加载可执行文件 > 6.1 加载可执行文件
6.1知识点:加载可执行文件
1. 加载可执行文件
当加载一个可执行文件时,IDA Pro会尝试识别这个文件格式以及处理器架构。当加载一个文件(PE文件)到IDA Pro时,IDA Pro像操作系统加载器一样将文件映射到内存中。
要让IDA Pro将文件作为一个原始二进制文件进行反汇编,选择界面顶部的binary file选项,如上图③处所示。因为恶意代码有时会带有shellcode、其他数据、加密参数等,甚至在合法的PE文件中带有可执行文件,并且当包含这些附加数据的恶意代码在windows上运行或者被加载到IDA Pro中时,他并不会被加载到内存中。当你加载一个包含shellcode的原始二进制文件时,你应该将这个文件作为二进制文件加载并反汇编它。
PE文件被编译加载到内存中一个首选的基地址,如果Windows加载器无法将它加载到它的首选地址(地址被占用),加载器会执行基地址重定向操作。选中图5-1中④处的Manual Load 复选框,这时你会看到一个输入框,你可以指定这个文件需要加载新的虚拟基地址。
在默认情况下,IDA Pro的反汇编代码中不包含PE头或资源节,而这些地方经常被恶意代码用来隐藏恶意指令。如果过你指定手动加载,IDA Pro会询问你是否要逐个地加载每一个节,包括PE文件头。
-1.1 计算机病毒的定义和类型
-1.2 计算机病毒分析的目标
-1.3 计算机病毒分析技术概述
-第一单元习题
-2.1 杀毒软件
--2.1 杀毒软件
-2.2 哈希值:恶意代码指纹
-2.3 特征字符串
-2.4 加壳与混淆
-2.5 PE文件格式
-2.6 链接库与函数
-第二单元习题
-实验报告
-3.1 虚拟机的结构
-3.2 创建虚拟机
-3.3 使用虚拟机
-第三单元习题
-4.1 沙箱分析
--4.1 沙箱分析
-4.2 运行病毒和进程监视
-4.3 Process Explorer和Regshot
--4.3 Process Explorer和Regshot
-4.4 网络模拟
--4.4 网络模拟
-第四单元习题
-实验报告
-5.1 逆向工程
--5.1 逆向工程
-5.2 x86体系结构
-5.3 CPU寄存器
-5.4 汇编指令
--5.4 汇编指令
-5.5 栈操作
--5.5 栈操作
-第五单元习题
-6.1 加载可执行文件
-6.2 IDA Pro窗口
-6.3 IDA Pro 导航
-6.4 交叉引用
--6.4 交叉引用
-6.5 函数分析
--6.5 函数分析
-6.6 使用图形选项
-6.7 增强反汇编
-第六单元练习
-实验报告
-7.1 识别汇编中的C语言代码结构
-7.2 识别if分支结构
-7.3 识别循环
--7.3 识别循环
-7.4 识别函数调用
-7.5 识别switch结构
-7.6 识别数组、结构体、链表
-第七单元练习
-实验报告
-8.1 Windows API
-8.2 Windows 注册表
-8.3 网络API
-8.4 跟踪病毒运行
-8.5 互斥量
--8.5 互斥量
-8.6 异常处理、模式、Native API
-第八单元练习
-实验报告
-9.1 调试器介绍
-9.2使用调试器
-9.3使用断点暂停执行
-9.4 断点类型
--9.4 断点类型
-9.5异常
--9.5 异常
-9.6调试器修改可执行文件
-第九单元练习
-10.1 Ollydbg加载恶意代码
-10.2 Ollydbg的窗口
-10.3 内存映射
-10.4 查看线程、栈、代码
-10.5 断点
--10.5 断点
-10.6加载DLL、跟踪
-10.7异常处理、修补
-10.8分析shellcode、协助功能
-10.9插件、脚本调试
-第十单元练习
-实验报告
-11.1驱动与内核代码
-11.2使用WinDbg
-11.3微软符号表
-11.4内核调试
-11.5Rootkit
-第十一单元作业
-12.1下载器、启动器和后门
-12.2远程控制和僵尸网络
-12.3登录凭证窃密器
-12.4存活机制和windows注册表
-12.5特洛伊木马化二进制文件
-12.6DLL加载顺序劫持
-12.7权限提升与用户态Rootkit
-第十二章练习
-13.1启动器与进程注入
-13.2进程替换
-13.3Hook注入
-13.4Detours与APC注入
-第十三单元练习
-14.1加密算法的目的和简单的加密算法
-14.2简单的加密策略
-14.3常见的加密算法
-14.4自定义加密
-14.5解密
--14.5 解密
-第十四单元练习
-期末考试