a--- title: 資通安全實務 W5 tags: 第一組 --- # 資通安全實務 W5 ## 動態分析 **電腦環境要正確，模擬出受害者電腦** ### Tools - Autoruns - 通常惡意軟體會想辦法在開機後自我啟動 - 可以利用 compare 功能去比較有新增那些自我啟動的程式 - 登陸編輯程式 - 查看是否惡意軟體自我啟動有被設定 - FakeNet - 本機模擬出網路服務 - NetCat - 需要兩台電腦，其中 Victim 會開出 DNS - Hacker 端開啟 443 等待回報 - apateDNS - 可以在 Victim 模擬 DNS - Wireshark - 三方交握才會建立連線 - 可以過濾封包 ### 代碼分析 **將機器碼譯回組合語言，在不執行下，分析程式** ### Tools #### IDA Pro 自動判別檔案類型，檔案載入記憶體 - 導航 - 淺藍是 library code - 深藍是使用者寫的 - 反組譯視窗 - 空白建切換，可以快速辨別分支跟區塊 - 綠色 true，紅色 else，藍色無條件跳轉 - 可以開啟 Options→General→Autocomments 開啟註解 - Alt + T (find text) - Alt + B (find binary) - G (jump to) - Shift + F12 (Show String) - 函式視窗 - sub 開頭為 IDA 看不懂，子程序