1.3 检查恶意软件的图片

要了解恶意软件是如何设计来捉弄攻击目标的，让我们看看在它的．rsrc节中所包含的图标。例如，恶意软件二进制文件常常被设计成伪装的Word文档、游戏安装程序、PDF文件等常用软件的图标来欺骗用户点击它们。你还可以在恶意软件中找到攻击者自己感兴趣程序中的图像，例如攻击者为远程控制受感染机器而运行的网络攻击工具和程序。回到我们的样本图像分析，你可以在本章的数据目录中找到名为fakepdfmalware.exe的这个恶意软件样本。这个样本使用Adobe Acrobat图标诱骗用户认为它是一个Adobe Acrobat文档，而实际上它是一个恶意的PE可执行文件。

在我们使用Linux命令行工具wrestool从二进制文件fakepdfmalware.exe中提取图像之前，我们首先需要创建一个目录来保存我们将提取的图像。代码清单1-6显示了如何完成所有这些操作。

代码清单1-6 从恶意软件样本中提取图像的Shell命令

我们首先使用mkdir images创建一个目录来保存提取的图像。接下来，我们使用wres-tool从fakepdfmalware.exe中提取图像资源（-x）到/images目录，然后使用icotool提取（-x）并将Adobe中．ico图标格式中的所有资源转换（-o）为．png图形，以便我们可以使用标准的图像浏览工具查看它们。如果你的系统上没有安装wrestool，你可以从http://www.nongnu.org/icoutils/下载。

一旦你使用wrestool将目标可执行文件中的图像转换为PNG格式，你就可以在你喜欢的图像浏览工具中打开它们，并以各种分辨率查看Adobe Acrobat图标。正如我在这里给出的例子所示，从PE文件中提取图像和图标相对简单，可以快速显示与恶意软件二进制文件相关的有趣且又有用的信息。同样地，我们可以轻松地从恶意软件中提取可打印字符串来获取更多信息，我们接下来会做这项工作。