|
||||||||
|
||||||||
|
|
Công Cụ | Xếp Bài |
|
04-11-2009, 10:32 PM | #1 |
Guest
Trả Lời: n/a
|
Bộ công cụ cần có để phân tích virus
Bộ công cụ cần có để phân tích virus 1. Các công cụ để debug: + OllyDbg: Dĩ nhiên rồi! Olly luôn là sự lựa chọn số một! Không phải bàn cãi + Borland Turbo Debugger : công cụ cơ bản để bạn debug virus trên DOS. + WinDbg: Rất cần thiết nếu bạn muốn viết, phân tích rootkit (hoạt động ở chế độ kernel của OS) + SoftICE: Là công cụ có tính năng tương tự WinDbg nhưng giao diện thân thiện hơn. Tuy nhiên hay trục trặc . Khi phải lựa chọn mình sẽ chọn WinDbg. + Một số Soft hỗ trợ debug VB: SmartCheck, VB Decompiler 2. Các công cụ để disassemblers: + IDA Pro : Chỉ có thể nói rằng: quá tuyệt vời! Tương tự Olly, IDA có rất nhiều plugin hỗ trợ, trong sô đó nổi đình nổi đám nhất hiện nay là: Hex-Rays. Bạn có thể xem demo tại đây! + Win32dasm: Là công cụ disassembler tốt nhất trước khi IDA ra đời Dĩ nhiên là nó vẫn còn rất hữu dụng. + Windows Disassembler: Công dụng, tính năng, mọi thứ gần giống Win32dasm. Khác biệt duy nhất có lẽ là kích thước chương trình. Tuy nhiên nếu phải lựa chọn tôi sẽ chọn Win32dasm. ( dĩ nhiên không tính IDA: với tôi IDA mãi là tình yêu lớn nhất ) 3. Các công cụ hỗ trợ Unpack: + PE Explorer: Một công cụ mạnh để xem, chỉnh sửa, fix dump ... một file PE. PE Explorer còn tích hợp thêm tính năng unpack UPX. Đây là một tính năng được ưa thích của PE Explorer đơn giản vì UPX được sử dụng rất nhiều trên thực tế. + PEiD: Là công cụ tốt nhất hỗ trợ bạn phát hiện xem virus đã được pack bởi công cụ (giải thuật) nào. Tuy nhiên PEID không unpack giúp bạn. + LordPE: Công cụ mạnh để hỗ trợ dump file. + ImpRec: LordPE và ImpRec là một cặp trời sinh Bạn hãy sử dụng đồng thời cả 2 công cụ này. + ProcDump32: 4. Các công cụ hỗ trợ hex editor: + Hexworkshop: Một công cụ mạnh, nhiều tính năng. You have to try it to belive it! + Hiew: Nổi tiếng chả kém gì Hexworkshop + Hex view Trên đây chỉ là những core item cơ bản, đối với mỗi người, trong từng trường hợp chúng ta sẽ cần thêm rất nhiều những công cụ mạnh khác nữa. Để chống lại virus chúng ta không thể sử dụng tay không. Để chống được virus chúng ta phải có những công cụ thật mạnh! - Thêm bộ SysInternals Suite nữa: DbgView, FileMon, RegMon, ProcExp, TcpView, ProcMon, AutoRuns... - Các app capture: Cain, CommView, MS Network Monitor. - Các tool, plugin compare các binary files, patch files: EDS, BinDiff, IDACompare... - x86emu: plugin cho IDA để emulation. - Python và các app ứng dụng của nó: IDAPython, PaiMei, Process_Stalker, ImmDbg - Trình kernel debugger mới: Syser. - Tập dùng remote debug với IDA, WinDbg, VS... - Các tool snapshot như: RegShot, RegSnap, ART hay SysTracer. Tui khoái cái thằng SysTracer này, qua REA sẽ có keygen của Kienmanowar. Theo Virusvn |
|
|