教你用Python识别恶意软件

用的恶意软件示例。为了演示本文讨论的技术，我们在演示中使用ircbot.exe，这是一个互联网中继聊天(Internet Relay Chat，IRC)机器人，也在日常广泛监测中最常见的恶意软件的示例之一。

严格来说，当连接到IRC服务器时，这个程序被设计常驻在目标计算机上。在ircbot.exe控制目标后，攻击者可以通过IRC控制目标计算机，执行控制指令，例如打开网络摄像头偷偷捕获视频、提取目标的地理位置和桌面的截图，以及从目标机器中提取相关文件等。

01 微软Windows可移植可执行文件格式

要进行恶意软件静态分析，你需要了解Windows PE文件格式，该格式描述了如.exe、.dll和.sys等当今Windows程序文件的结构，并定义了它们存储数据的方式。PE文件包含x86指令、图像和文本等数据，以及程序运行所需的元数据。

PE格式最初的设计是用来进行下面的操作。

1)告诉Windows如何将程序加载到内存中

PE格式描述了文件的哪些块应该加载到内存中，以及在哪里加载。它还告诉你，Windows应该在程序代码里的哪个位置开始执行程序，以及哪些动态链接代码库应该加载到内存中。

2)为运行程序提供在执行过程中可能使用的媒体(或资源)

这些资源可以包括字符串，如GUI对话框或控制台输出的字符串，以及图像或视频。

3)提供安全数据，例如数字代码签名

Windows使用这些安全数据来确保代码出自受信

（编辑：常州站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!