二、使用工具来分析PE文件

2.1 使用PEview来分析

PE文件格式在头部存储了很多有趣的信息。我们可以使用PEview工具来浏览这些信息

上图中1的位置显示了PE文件头部的主要部分。IMAGE_FILE_HEADER项被高亮显示，因为它是当前选中的。

PE头中的前两个部分IMAGE_DOS_HEADER和MS-DOS存根程序，是历史遗留问题，对我们而言没有提供任何值得关注的信息。

PE文件头中的下一部分，IMAGE_NT_HEADER，显示了NT头文件。特征签名始终是相同的，可以被忽略。

上图中2的位置高亮显示的IMAGE_FILE_HEADER项中，包含了关于文件的基本信息，有时呢，我们还会看到一个时间戳，但是这个时间戳不一定靠谱，如果是Delphi编译，那么时间戳统一是92年6月19日，一班的恶意代码编写者也会修改这时间。

还有一点如上图啊各位，在IMAGE_OPTIONAL_HEADER中，有这么一个红框，IMAGE_SUBSYSTEM_WINDOWS_GUI说明程序会在系统中运行，IMAGE_SUBSYSTEM_WINDOWS_CUI说明程序会在一个CMD中运行。

2.2 使用Resource Hacker来分析资源节

这里我们主要的信息收集是来自于.rsrc节

我们可以使用这款工具看到字符串、图片和菜单，而显示的菜单项和程序所使用的是一致的。

其中对于恶意代码分析能够提供有用的信息如下：

（1）图片部分列出了当可执行文件在文件列表中显示时可以使用的图片文件；

（2）菜单部分存储了所有出现在各个窗口中的菜单，像是file、edit、view菜单。这部分包含了鄋的菜单项的名称，以及所显示的文字。这些菜单项名称能够让你很好的理解他们的功能；

（3）对话框部分包含了程序的对话框项；

（4）字符串部分存储了字符串列表；

（5）版本信息部分包含了一个程序版本号，并经常有公司名称和版权声明；

当然还有很多其他有用的工具：PEBrowse Professional 和PE Explorer

三、关于恶意样本的应急处理

3.1排查可疑进程

cmd中打开tasklist，查看进程

终止进程 taskkill /f /im + PID值

3.2检查自启动项

win+r 打开 msconfig

禁用掉新增的自启动项

在msconfig中我们可以看到自启动项的文件位置和在注册表中的位置