压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

　　先說說硬件：

　　條件允許的情況下，2條不同網(wǎng)絡運營商提供的線路，2臺或以上的電腦，具體配置自己感覺滿意就行

　　雖然用虛擬機也可以，但難免某些惡意代碼有虛擬機檢測機制，所以能用真機就盡量用了

　　接下來是必備軟件：

　　Windows XP（別嫌棄老，老有老的好處，輕便+省事）

　　IDA Pro（雖然市面上還有別的反匯編工具，一是因為IDA強大，二是因為反病毒行業(yè)必備，如果哪位兄弟非要用別的，面試時被BS千萬別說沒提醒過。另外 Hex-rays的反編譯插件確實很強大，但是太貴了沒閑錢買，另一方面養(yǎng)成自己動手豐衣足食的好習慣后其實也不差那個插件）

　　OllyDbg（同上，行業(yè)必備。但說實話，個人很少用，不是說它不好，而是IDA的注釋太重要了，能靜態(tài)IDA的絕不調(diào)試，即便實在要調(diào)試，能用IDA自帶的調(diào)試器搞定的就直接搞定了，實在不行再換Olly）

　　WinDbg（同上，行業(yè)必備，調(diào)試驅(qū)動利器。和前者一樣，個人很少用，也不是說它不好，只不過大多驅(qū)動直接用IDA靜態(tài)也就夠了）

　　Wireshark（截數(shù)據(jù)包必備利器。和前者一樣，個人很少用，也不是說它不好，只是分析時我很少會真讓惡意代碼徹底跑起來，有需要或是靜態(tài)逆出來，或是直接從調(diào)試器里抓出來了）

　　還有幾款小軟件，個人比較喜歡，但不是必須的

　　010 Editor

　　DeDe

　　Ghost

　　Hiew

　　LordPE

　　WinHex

　　除此之外還需要一些監(jiān)測小軟件，其實有很多免費的或共享的，但出于減少被惡意代碼忽悠的考慮，所以個人覺得能寫的還是自己寫好，就算不能寫，也盡量選個不知名的。

　　系統(tǒng)變化監(jiān)測

　　API監(jiān)測

　　Rootkit監(jiān)測

　　其他用于測試的備用軟件：

　　各類服務器（HTTP， SMTP， FTP， IRC等等）

　　各類常見IM（QQ，MSN，YAHOO等等）

　　Microsoft Office（各個版本的安裝文件）

　　Adobe Acrobat Reader（各個版本的安裝文件）

　　Adobe Flash Player（各個版本的安裝文件）

　　最后提一下惡意代碼樣本的基本分析流程（不包含特征碼提取）：

　　1. 恢復系統(tǒng)鏡像（避免在已感染的環(huán)境下被其他信息誤導）

　　2. 快速查看是否有可疑字符串

　　3. 快速查看代碼入口地址是否有被感染痕跡

　　4. 運行，監(jiān)測并記錄系統(tǒng)變化以確定是否是惡意代碼

　　5. 如果需要的話，用IDA靜態(tài)分析

　　6. 如果需要的話，寫一些輔助腳本或代碼協(xié)助分析

　　7. 如果需要的話，用調(diào)試器調(diào)試

　　8. 如果需要的話，對相關域名，服務器，郵件地址等做背景調(diào)查

　　9. 文檔化相關內(nèi)容

　　10. 備份所有相關文件

　　當然，對于在殺軟工作的朋友來說，通常還會需要提取特征碼(一般是在靜態(tài)分析之前），也可能會需要寫修復工具，但那些工作細節(jié)不同公司會有不同的要求和流程，這里就不多做討論了。

   文章來源：http://vmware51.blog.51cto.com/9851770/1605462