背景

有Linux分析的能力，但是不是每个病毒类型都熟悉，从头分析很慢，需要有重点，有先后的分析，故记录一下思路。

开始啰嗦

Linux平台的特性

依赖脚本

因为Linux使用命令行的方式比Windows能完成的更多更方便，所以经常会有脚本的组件“.sh”，Windows平台也有“.bat”和“.vbs”。
在字符串窗口可以搜“chmod +x”或者“.sh”：

挖矿的特性

函数

挖矿相关函数，搜“miner”：

函数名和功能已经表达的很清楚了，如果需要获取相关的信息，在相关函数的交叉引用处，下断点，或者跳转过去分析。

相关字符串

• CPU
• crypt

• RSA

  功能特性

  如果有发现命令，查看其上下文，是否有判断的函数（cmp，equal，switch case等）。如果是equal和cmp这类，能直接看到命令的函数，查看该函数的交叉引用，可以获取其他的命令：
  
  比较多交叉引用话，可以通过函数前缀试试看筛选：
  

  如果需要找IoCs

• “http:”或“https:”

• 路径的话除了“\”还有一些函数的字符串也可以定位

  参考

  21.09.03-Kinsing: The Malware with Two Faces

  20.07.22-Connecting Kinsing malware to Citrix and SaltStack campaigns