其实，每个病毒木马都写满了故事，从它身上：我们可以读懂它是怎么让我们上当受骗、运行它的？可以读懂它是运用何种奇技淫巧绕过杀毒软件的层层追杀的？可以读懂它扎根在我们电脑里最终目的是什么？是勒索？投放广告弹窗？还是收集隐私？所以，单单判断出一个程序是不是病毒还远远不够，我们还需要走进病毒木马，去看看它背后的故事，因为技术是不会说谎的！所以，这一期咱们就聊聊如何分析一个病毒木马，需要用到哪些辅助工具和相关技术呢？

话不多说，咱们开始吧！

分析原理

分析一个病毒木马，我们至少需要弄清楚这 4 个问题：

一是它是如何进行伪装，让我们把它启动起来的？
二是启动起来之后，它如何隐藏在我们的电脑，如何实现开机自启动、提升权限的？
三是它驻留在我们电脑的目的是什么?是加密勒索？是投放广告？还是收集信息？
四是它是如何回传数据到远程服务器的？远程的服务器IP地址是什么？进行进行溯源？

我们手上只有病毒木马编译后的二进制文件，没有源码！所以，要想获取上述信息，只能通过逆向技术，反汇编二进制文件，得到汇编代码；然后阅读汇编代码，一点点去理解程序的意图和执行逻辑。逆向其实很简单，就是看汇编代码；但是也很难，因为汇编代码很底层，只用少数的一两百条指令来表示我们程序千千万万不同的语义，所以理解起来会非常的抽象！需要耐心、专注的人才能做到。但，任何事情都是入门时候很难，一旦你熟练、习惯后，看汇编代码就像看高级语言一样通俗易懂！等到这时候，任何程序在你面前，都不再有秘密！

常用的两个逆向工具：一个是静态反汇编工具IDA、一个是动态反汇编工具OllyDbg，静态和动的区别就在于静态不需要运行程序，直接扫描就可以得到反汇编代码，好处就是即使程序有损坏不能运行，也可以进行反汇编；动态是会加载到内存执行，对内存数据进行反汇编，所以这就要求程序必须能够加载运行起来，动态反汇编的好处就是我们能跟着程序执行逻辑并进行调试。