从恶意软件分析开始

Question

我是第一次从恶意软件的逆转/分析开始。我在网上浏览了很多资源。其中有些很棒，很有帮助，比如SANS资源，Limon博客，安全培训，编辑帖子等等。我仍然在建立与恶意软件分析开始我的约会所需的环境(我一直对此着迷)。

然而，有一件基本的事情我正在试图理解。请帮我同样的忙：

我所拥有的恶意软件示例是我从一个被破坏的实时生产环境( Linux机器)中收集的。现在，我想首先了解一下，这种恶意软件是为了感染Linux还是Windows机器？换句话说，它是Linux还是Windows恶意软件？

因此，现在我已经按照这里(利蒙)指令开始了分析环境的设置。我从这个开始，因为恶意软件是从Linux盒中收集的。所以我猜它是一个Linux恶意软件。我在这里思考的过程对吗？如果不是的话，正确的做法应该是什么？

Answer 1

如果你想要运行自动分析，你的想法是好的。确保你已经按照所提供的指示设置好了所有的东西。既然您想要开始查看恶意软件分析，请设置两个虚拟盒。一个在linux上运行，一个在windows上运行，所以您可以使用Limon来分析Linux和Windows恶意软件。除了工作环境之外，一定要阅读一些关于恶意软件的东西(恶意软件分析师的食谱或类似的东西)，并培养一些逆向工程技能。如果您考虑将其提升到下一个层次，那么对它们的理解和它们的“硬核心”分析都会非常有用。首先分解一些简单的程序(hello )，学习一些工具，比如ollydbg、ida pro(如果您找到许可证)、radare2，然后开始手动解压和真正的恶意软件。自动化工具通常是做这项工作，但能够质疑他们的结果，并找到更多.那是无价之宝;)