利用Python開源工具分析惡意代碼

《利用Python開源工具分析惡意代碼》是人民郵電出版社出版的一本圖書。

惡意代碼分析過程中，重要的是掌握惡意代碼的特徵，此時需要靈活運用線上服務的快速分析數據和主要惡意代碼的資料庫。《利用Python開源工具分析惡意代碼》從應對入侵事故一線業務人員角度出發，介紹了分析惡意代碼時的Python 等眾多開源工具的使用方法，也給出了可以迅速套用於實際業務的解決方案。

1　開源軟體與Python環境 1

1.1　關於開源軟體 2

如果管理人員熟悉開源軟體 2

1.2　Python簡介 3

1.3　搭建Python環境與程式發布 3

1.3.1　在Windows下搭建Python環境 3

1.3.2　使用Eclipse與PyDev搭建Python開發環境 7

1.3.3　使用pyinstaller發布程式 12

1.4　從Github站點下載開源工具 15

1.5　安裝Python模組 17

1.6　小結 19

2　通過peframe學習PE檔案結構 20

2.1　PE檔案結構 21

2.1.1　DOS Header結構體 23

2.1.2　DOS Stub Program 26

2.1.3　IMAGE_NT_HEADER結構體 26

2.2　分析peframe工具 28

2.2.1　IMPORT模組 29

2.2.2　預處理部分 30

2.2.3　分析main函式 35

2.2.4　peframe中的函式 40

2.3　惡意代碼的特徵因子 136

2.3.1　防毒結果 136

2.3.2　散列值 137

2.3.3　加殼器 138

2.3.4　節區名與熵 139

2.3.5　API 141

2.3.6　字元串 143

2.3.7　PE元數據 144

2.4　小結 145

3　惡意代碼分析服務 146

3.1　惡意代碼分析環境 147

3.1.1　自動分析服務種類 147

3.1.2　惡意代碼分析Live CD介紹 148

3.1.3　收集惡意代碼 151

3.2　線上分析服務 166

3.2.1　VirusTotal服務 166

3.2.2　套用VirusTotal服務API 173

3.2.3　使用URLquery查看感染惡意代碼的網站 188

3.2.4　使用hybrid-analysis分析惡意代碼 190

3.3　小結 192

4　使用Cuckoo Sandbox 193

4.1　Cuckoo Sandbox定義 195

4.2　Cuckoo Sandbox特徵 196

4.3　安裝Cuckoo Sandbox 197

4.3.1　安裝Ubuntu 14.04 LTS 199

4.3.2　安裝VMware Tools 203

4.3.3　鏡像站點 205

4.3.4　安裝輔助包與庫 206

4.3.5　安裝必需包與庫 207

4.3.6　設定tcpdump 213

4.4　安裝沙箱 214

4.4.1　安裝沙箱 214

4.4.2　安裝增強功能 218

4.4.3　安裝Python與Python-PIL 219

4.4.4　關閉防火牆與自動更新 220

4.4.5　網路設定 221

4.4.6　設定附加環境 223

4.4.7　安裝Agent.py 224

4.4.8　生成虛擬機備份 228

4.4.9　通過複製添加沙箱 229

4.5　設定Cuckoo Sandbox 232

4.5.1　設定cuckoo.conf 232

4.5.2　設定processing.conf 236

4.5.3　設定reporting.conf 238

4.5.4　設定virtualbox.conf 239

4.5.5　設定auxiliary.conf 242

4.5.6　設定memory.conf 243

4.6　運行Cuckoo Sandbox引擎 247

4.6.1　Community.py 248

4.6.2　使用最新Web界面 250

4.6.3　上傳分析檔案 252

4.6.4　調試模式 255

4.6.5　使用經典Web界面 256

4.7　Cuckoo Sandbox報告 257

4.7.1　JSONdump報告 257

4.7.2　HTML報告 258

4.7.3　MMDef報告 259

4.7.4　MAEC報告 260