恶意样本逆向分析介绍

恶意样本逆向分析技术和我们日常了解的逆向分析还是存在区别的，基本想学逆向都会联系到一大堆书，或者转眼来到科锐和滴水一年学习流程。

我本人是滴水出来的，两家各有特色，滴水偏内核，科锐偏应用，但是两家都是纯逆向性质，样本分析并不用学那么深，简单来说样本分析就是单纯对恶意样本那个程序来分析，而且我们既然说了恶意样本逆向分析是逆向工程其中的一个分支，那就肯定有它学习的路线，就像我们学渗透或者学开发，都是有一条专属线的，当这条专属线走完才是最迷茫，最萎靡的时刻。为什么会这样我们放在最后细说。

个人建议：恶意样本逆向分析工程师一直是稀缺岗位，岗位需求也不多，可以说是高级工种的类型，可以说逆向工程相关的岗位基本都是稀罕物。如果看本篇文章的是同学，并且做好长时间投入但回报特别少（比如渗透2个月开始研究漏洞甚至有的结束web渗透基础了，而你2个月可能刚完成一本书），那你可以跟着学习看看。已经在职想转行的师傅，别考虑了，不好转行，当个爱好学学得了。

恶意样本逆向分析学习路线

汇编学习

也可能是我受滴水的影响，语言这块还是要先学汇编，但不用学很深，除非你要开始内核了，不然没必要做到汇编写程序那些程度

一本《王爽汇编》足够，别说他老，又有很多错什么的，入门够了，推荐深了你又学不进去，说了你又不开心。

C++逆向分析

不用C语言，也不要说什么C是语言基础，那怎么还有人直接学的java，rust，go，python？所以C++必学，后边再补个C就是了，等你学完C++再去看C，没两样，不信就自己尝试。反正最后你学了C++就行。

这个学习过程是边学C++边进行反汇编调试练习，学完的时候IDA也已经熟练使用了。这个确实要用视频展示更合理，但国内的样本分析工程师也没人做样本分析课程，在安全圈子甚至都很少看到恶意样本分析工程师出现，更多的都是渗透那批人，没办法，样本分析的日常都很累，现在也不支持只会样本分析了，必须要会双技能才能有个工作。

非要推荐一本书的话那就钱老的《c++反汇编与逆向分析技术揭秘》，逆向不好学的地方就是一般到这块的时候书本不好去衔接解释，更好的其实是看视频演示

逆向调试

调试，也就是以前说的OD，现在是x64dbg，这个也适合看视频，目前没什么书来讲这块。。。国内是这样的~

样本分析的调试主要是脱壳，把脱壳后程序扔IDA分析。反正我习惯了这样。

这个可能就只能《加密解密》脱壳部分了。

恶意程序开发分析

这里是WindowsAPI的学习过程，直接开发恶意程序之后进行逆向分析，每个恶意程序都有专属的技术点，例如加载器，线程注入，窃密，通过不同技术点进行学习，但是国内没书也没教程做恶意程序，文章内也不方便说。

恶意样本逆向分析实战

如果是想到高标准的可以看下我的上一篇帖子，普通标准的随便搜搜公众号啥的样本分析文章就够了。

对恶意样本逆向分析的看法

安全中做逆向这块的确实是越老越吃香，因为学习周期就很长，再先实习个半年，之后正式工作磨练个3年，基本就通关了。通过工作不断的打磨后边其实不用谁说什么方向的，每个人都会有自己的路，我的建议是慢慢来，慢慢学，逆向相关的从来不会歧视年纪大的，反而年纪大的才有经验，而那些年纪大的也会更愿意照顾新来的靓仔，一方面做这个的人少，另一方面学逆向分析的基本都是被上一个大哥按在地上走来的，来新人总要装一波的。反正我目前工作这几年逆向的师傅们一直都很不错。

简单来说逆向相关岗位的师傅特点就是：人好心善乐于助人，技术能教就教一点不藏着（本来就没人学，不教没法装X了），也都有耐心，有的师傅性格火爆，但一开始分析就很专注安静，薪资没以前高啦，这个不用惦记了各位，要求反而也比以前高了，生活所迫~~~