古语有云：“学如逆水行舟，不进则退。”面对如今随时都在变化的网络安全环境更是如此。为此，创信华通微信公众号特开设“创安实验室专栏”，以记录创信华通创安实验室在技术上的探索，加强同行间的交流，相互学习，共同进步。

✦+

快速分析技术+日志分析技术→提取特征码+简要报告

静态分析技术+动态分析技术→提取特征码+详细分析报告+专杀工具开发+获取C2

1、在线反病毒引擎

2、hash获取 certutil -hashfile 01.恶意代码基础知识.exe MD5

或者用电脑自带crc sha

 3、查找字符串 hive string ida 火绒剑

4、查壳 pied

这个是没有壳的，什么都没找到或者显示其他名称是有壳

5、导入导出函数

获取函数地址+加载动态链接库→动态寻找 winexec执行

创建文件+写文件+移动文件→移动自身，进行隐藏

打开进程+创建远程线程→远程线程注入

寻找资源+资源尺寸+加载资源→说明程序得资源段里面有隐藏得东西，在释放可执行文件

进行权限相关得操作。怀疑是提权

下载器和启动器—没有实际的恶意功能

6、获取资源信息

dos头+pe头→可执行程序，windows下的pe程序

发现是下载文件+执行→下载器

 7、在线沙箱