--- title: 資通訊安全實務 W3 tags: 第一組 --- # 資通訊安全實務 W3 ## Tools - CFF explorer - PE-bear.exe - Pestudio ## PE中更重要的東西 - IT(Import Table) - 紀錄 .dll (Dynamic-link library)  - 紀錄這個程式使用的 Library，可以透過分析這個 DLL 表，知道惡意程式大概在做甚麼? eg. fget,fopen - FindFirstFile() + FindNextFile()：遍歷指定目錄的所有檔案 - 為甚麼要有 IT ? 因為 DLL 的概念為-需要用到時再載入(到 memory 裡)，但要載入的當下如何知道要去哪裡找需要的函式，可以到 IT 裡面查。 ### Window API - DLL 檔存放的是機器指令 - .dll table - 看程式有呼叫甚麼功能?：Import Table - 看 DLL 檔有甚麼功能?：Export Directory ## 靜態分析 ### 擷取特徵  #### Hash Values 哈希值 雜湊值最精準，保存期限最短 - 常見的雜湊函數 - MD5 - SHA-1 - SHA-256 - Tools - HashCalc - Virustotal - pestudio - strings (把可見字串抽取出來)