常见恶意软件工具分析(一)

常见的 Webshell 查杀工具包括但不限于以下几种： D盾_Web查杀 简介：由阿D出品，使用自行研发的代码分析引擎，能分析更为隐藏的 WebShell 后门行为。兼容性：只提供 Windows 版本。

三方SDK不合规：第三方SDK是应用开发中常用的工具，但如果不谨慎选择和使用，也可能带来安全风险。建议开发者尽量使用大厂提供的合规SDK，并实时更新版本以跟上最新的审核政策。过时或不合规的SDK可能包含非法API调用，从而引发恶意软件判定。

accept-all-ips：这个工具也是REMnux中包含的脚本。这将把所有IP流量重定向到REMnux主机。如果在活动环境中激活，将非常危险，但对于强制传输到分析机器非常有用。INetSim：这是一个软件套件，可以在web上模拟许多常见的服务/协议。如果需要的话，这个套件甚至可以为恶意软件样本提供良好的可执行文件。

在本节中，我们概述了Ghidra的基本使用方法，包括下载、安装和开始分析文件。Ghidra在恶意软件逆向工程领域提供了一个强大的工具，适合网络安全专家和相关人员。本系列文章将通过分析多个恶意软件，从简单到复杂，展示Ghidra的强大功能。本文由合天网安实验室编译，如需转载，请注明来源。

在Google Play上架应用时，遭遇Malware（恶意软件）违规处置是开发者不愿面对但又必须重视的问题。以下从代码、权限（数据安全及合规）、业务逻辑三个角度，对可能导致应用被判定为恶意软件的原因进行详细分析。

大量的实践：通过分析各种软件、CTF题目、恶意软件样本来积累经验。学习IDAPython脚本编程：自动化重复性分析任务，定制分析流程。替代工具与道德法律提醒 虽然IDA Pro是逆向工程领域的王者，但也有一些优秀的免费或开源替代品，如Ghidra、Radare2/Cutter、x64dbg/OllyDbg等。

免杀|PEiD查壳、脱壳+汉化+工具打包

脱壳是指将加了壳的可执行文件还原为原始未加壳状态的过程。脱壳是逆向工程和汉化软件的重要步骤。PEiD不仅支持查壳，还支持脱壳。PEiD的插件中包含了多种脱壳器，可以脱除大部分常见的壳。PEiD脱壳步骤：打开PEiD工具。点击“=”打开插件列表。

免杀是指通过技术手段使恶意软件绕过安全软件的检测与查杀。这通常涉及对恶意软件进行加壳、混淆代码、修改入口点等操作，以增加其隐蔽性。PEiD查壳：PEiD是一款常用的查壳工具，它可以识别可执行文件是否加了壳以及加了何种壳。使用方法：将可疑的可执行文件拖入PEiD界面，PEiD会显示出该文件的壳信息。

查壳工具如PEID可以帮助用户识别程序是否加壳。通过将可执行软件拖入PEID，用户可以直观地判断程序是否加了壳。例如，若使用了aspack的壳，则脱壳后程序将暴露壳的痕迹。在进行脱壳操作时，用户可以选择通用脱壳器或针对特定壳的专用脱壳器。

PEiD的通用脱壳器是脱壳的常用插件，能处理大部分壳。如遇到import表损伤，它还能自动修复。例如，我们可以通过unpacker for upx插件来脱壳，脱壳后的文件通常会以原文件名前缀“un”放置在PEiD根目录下。汉化之旅 当程序无壳或已成功脱壳后，我们就可以进入汉化环节。

PEIDPEID的扫描模式

1、PEIDv0.92是一款知名的32位和64位可执行文件分析工具，它能够帮助用户快速识别出目标程序中的编译器、链接器、加壳工具和其他相关信息。这款工具在逆向工程和病毒分析等领域具有广泛的应用。首先，让我们明确PEIDv0.92的主要功能。作为一款可执行文件分析工具，PEIDv0.92能够快速扫描目标文件，并提取出其中的各种签名信息。

2、新增加WinNT平台下的自动脱壳器插件，可以应对现在大部分的软件脱壳（包括PEiD自身的UPXShit0.06壳）！现在软件越来越多的加壳了，给破解带来非常大的不便，但是这个软件可以检测出 450种壳，非常方便！增加病毒扫描功能，是目前各类查壳工具中，性能最强的。

3、首次深入探索：彩虹猫病毒逆向剖析 在移动逆向工程的旅途中，我遭遇了狡猾的彩虹猫病毒，它以桌面异常、进程弹窗和蓝屏等棘手症状示人。使用PEID进行扫描，发现它被ASProtect v32壳保护，病毒样本的功能特性如下：窗口弹出魔术师：ShellExecute负责驱动浏览器窗口的弹出，显示病毒的恶意意图。

4、新版中增加病毒扫描功能，是目前各类查壳工具中，性能最强的。 另外还可识别出EXE文件是用什么语言编写的VC++、Delphi、VB或Delphi等。

peid怎么用?

首先需要双击打开下载好的peid软件，点击软件file后面的三个点按钮来打开要查壳的软件。然后找到并点击要查壳的exe程序。在软件下方可以看到要脱壳软件所加的壳，这里是ASPack 12。下载aspack专用的脱壳软件，双击打开。找们要脱壳的exe软件，点击打开。这样，在被脱壳的软件目录里就会出现unpacked.exe文件，即为脱壳后的文件。

PEiD脱壳步骤：打开PEiD工具。点击“=”打开插件列表。选择对应的脱壳插件（如unpacker for upx）。将需要脱壳的可执行文件拖入PEiD界面。等待脱壳完成，脱壳后的文件通常会被保存在PEiD的根目录下，文件名为原文件名前加“un”字样。再次使用PEiD查壳，确认文件是否已成功脱壳。

打开PEiD v0.95软件 首先，安装并打开PEiD软件。用户会看到软件的界面，包括文件浏览、壳信息展示等区域。选择要检测的文件 在软件界面中，点击“打开”按钮，选择要检测的可执行文件。这通常是一个带有“.exe”扩展名的文件。进行壳检测 软件会自动分析所选文件的壳信息。

PEiD是一款常用的查壳工具，它可以识别可执行文件是否加了壳以及加了何种壳。使用方法：将可疑的可执行文件拖入PEiD界面，PEiD会显示出该文件的壳信息。脱壳：脱壳是指去除可执行文件上的壳，以还原其原始状态。这对于后续的逆向分析、汉化等操作是必要的。

下载并打开PEID软件：首先，你需要下载并安装PEID软件，这是一款用于检测PE文件所使用保护壳的工具。导入待分析的exe程序：双击打开PEID后，点击file选项后的三个点按钮，选择并导入你想要脱壳的.EXE文件。查看壳信息：软件下方会显示该exe文件所采用的壳的信息，例如ASPack 12等。

打开peid，界面如下：直接把exe文件拖到里面即可。例如：这个是暗组2008 vstart软件的信息。从上面我们可以看到软件加的UPX的壳，版本是0.86。我们最常用到的功能有：查看入口点。即程序的入口地址。查入口点的软件有很多，几乎所有的PE编辑软件都可以查看入口点。

PEID查看如图,如何将.exe反编译成代码?

1、要将.exe文件反编译成代码，首先需要明确的是，PEID（PEiD）本身并不能进行反编译操作，它主要用于检测PE文件（如.exe）是否加壳以及加了何种壳。针对如何将.exe反编译成代码的问题，以下是一些具体的步骤和考虑因素：检测加壳情况：使用PEID等工具检测.exe文件是否加壳。

2、要将.exe文件反编译成代码，首先需要明确的是，PEID（PEiD）仅用于检测PE文件（如.exe）的保护壳，并不能直接进行反编译。针对如何将.exe反编译成代码的问题，以下是一些关键信息和建议：PEID的作用：PEID主要用于检测PE文件是否使用了保护壳，以及使用了哪种保护壳。

3、要将.exe文件反编译成代码，首先需要明确的是，这是一个复杂且不一定能成功的过程。以下是对此问题的详细解PEID的作用与限制 PEID的主要功能：PEID（PEiD Detector）主要用于检测PE文件（Portable Executable，即Windows可执行文件）是否加了壳，以及加了什么壳。它并不能直接用于反编译.exe文件。

4、PEID只是看壳，不能直接编译。而且Nothing Found的意思是，不知道加了什么壳。 如果可以脱壳，就可以载入OD进行反编译，破解等操作。

5、在反汇编前你必须确定你要反汇编的文件有没有加壳，在网上查找peid查壳工具。

PEIDPEID的命令行选项

1、查看DLL函数及参数的方法主要有两种：使用dumpbin工具和DLL文件函数查看器软件。使用dumpbin工具 dumpbin是Visual Studio提供的一个命令行工具，它可以用来查看Windows可执行文件和对象文件中的信息，包括DLL文件中的导出函数。

2、单击‘-’按钮，选择插件，在选择Overlay 0，单击Overlay 0，出现by KuNgBiM框，选择并单击附加数据另存为..按钮，文件夹中会出现加密视频.Ovl文件，关闭PEiD 0.94工具。

3、进入IDA的入口函数start，我们发现病毒根据命令行参数执行多种功能，如watchdog和main。无参数启动时，它会先警告用户并记录进程路径，然后循环执行ShellExecute生成恶意文件，巧妙地生成多个进程。其中，shell的魔法再次展现：通过ShellExecuteExW创建高优先级的MEMZ进程，原进程在完成后结束。

4、PEID只是看壳，不能直接编译。而且Nothing Found的意思是，不知道加了什么壳。 如果可以脱壳，就可以载入OD进行反编译，破解等操作。

5、第一步，打开ExeinfoPE程序，选择设置（Options）；第二步，选择shellintegration（外壳整合）。ExEinfoPE是一款免费的Win32可执行程序检查器，它可以检查程序的打包方式，exe保护等，可以帮助开发人员对程序进行破解。