3-必备工具
简介
在踏上恶意软件开发之旅之前,有必要通过安装恶意软件开发和逆向工程工具来准备开发工作空间。这些工具将帮助你进行恶意软件的开发和分析,并且会在整个模块中使用。
逆向工程工具
前面提到的几个工具更注重逆向工程,而非开发。为了充分了解恶意软件的内部工作原理,对恶意软件进行逆向工程至关重要。这样做是为了在检验恶意软件时了解恶意软件分析人员会看到什么。
需要的工具
安装以下工具:
- Visual Studio - 这是进行代码编写和编译的开发环境。安装 C/C++ 运行时。
- x64dbg - x64dbg 是一款调试器,将在模块中用于深入了解开发的恶意软件。
- PE-Bear - PE-Bear 是一款用于 PE 文件的多平台逆向工具。它还将用于评估开发的恶意软件并查找可疑指标。
- Process Hacker 2 - Process Hacker 是一款功能强大的多用途工具,可帮助监视系统资源、调试软件和检测恶意软件。
- Msfvenom - Msfvenom 是一款命令行界面工具,用于创建、处理和输出有效负载。
Visual Studio
Visual Studio 是由微软开发的集成开发环境 (IDE)。它用于开发各种软件,例如 Web 应用程序、Web 服务和计算机程序。它还附带用于构建和测试应用程序的开发和调试工具。Visual Studio 将作为本课程中开发的主要 IDE。
x64dbg
x64dbg 是一款针对 x64 和 x86 Windows 二进制文件的开源调试工具。用于分析和调试用户模式应用程序和内核模式驱动程序。它提供了一个图形用户界面,允许用户检查和分析程序状态,查看内存内容、汇编指令和寄存器值。使用 x64dbg,用户可以设置断点、查看堆栈和堆数据、逐步浏览代码,以及读写内存值。
“CPU”主选项卡有 4 个屏幕:
反汇编(左上角):此窗口显示应用程序正在执行的汇编指令。
转储(左下角):此窗口显示正在调试的应用程序的内存内容。
寄存器(右上角):此窗口显示 CPU 寄存器值。
堆栈(右下角):此窗口显示堆栈的内容。
剩下的选项卡也提供有用的信息,但我们将在使用它们时在模块中讨论。
PE-Bear
PE-Bear 是一款免费开源工具,旨在帮助恶意软件分析师和逆向工程师快速轻松地分析 Windows 可移植执行文件 (PE)。它可帮助分析和可视化 PE 文件的结构,查看每个模块的导入和导出,并执行静态分析以检测异常和可能的恶意代码。PE-Bear 还包含 PE 头和部分验证以及十六进制编辑器等功能。
Process Hacker
Process Hacker 是一个开源工具,用于查看和操作 Windows 上的进程和服务。它类似于任务管理器,但提供了更多信息和高级功能。它可用于终止进程和服务、查看详细的进程信息和统计信息、设置进程优先级等。Process Hacker 在分析正在运行的进程以查看诸如加载的 DLL 和内存区域之类的项目时将非常有用。
Msfvenom
Msfvenom 是 Metasploit框架中的独立有效载荷生成器,允许用户生成各种类型的有效载荷。本课程中创建的恶意软件将会使用这些有效载荷。
预构建虚拟机
有预构建的虚拟机可用。这些虚拟机预先安装了所需的所有工具和课程代码。请注意,Microsoft Defender 已针对 C:\Users\MALDEV01\Desktop\Maldev-code 文件夹预先配置了排除。
VMware - 下载虚拟机
- SHA256:01ac8ef7078e0c263af10123d54a065b0d74f6d6bf4ea41c0a31c90105a40ba6
VirtualBox - 下载虚拟机
- SHA256:95774225f6e9265ac147e1a6af8a5ae488d833e6dd75debd13f3a38fa4f2de24
3D 加速图形
确保虚拟机设置已禁用 3D 加速图形,因为这可能会导致虚拟机冻结或滞后。
更新日志
在部署虚拟机之后,一些代码已更新。若要确保获得最新的代码示例,请从以下模块重新安装代码片段:
- 模块 81 - 绕过防病毒软件