Windows恶意软件分析-基于感染主机的特征

最新推荐文章于 2025-06-24 14:54:51 发布
原创 最新推荐文章于 2025-06-24 14:54:51 发布 · 653 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

该博客探讨了Windows恶意软件分析,重点关注文件系统、网络API、注册表、互斥量和服务相关的行为。通过监测特定函数调用,如 CreatFile、ReadFile、socket、RegSetValueEx 和服务创建,来识别恶意活动的特征。恶意软件可能利用注册表实现持久化,通过互斥量确保单一进程运行,并通过服务管理实现开机自启。

基于感染主机的特征

Windows 文件系统

利用ProcMonitor检测 opertion->CreatFile \ReadFile

常用的函数包括:

CreateFile 打开或者创建一个文件,根据dwCreationDisposition标记来确定创建文件还是打开文件

ReadFile 读取文件内容

WriteFile 写内容到文件

CreateFileMapping 将一个文件映射到内存中

MapViewOfFile获通过CreateFileMapping函数映射的文件指针

通常有这些函数调用,可能会存在缓存文件或者创建配置文件等行文,可以作为主要的特征判断。

网络Api

命名规则:伯克利兼容套接字

socket

ws2_32.dll 主要包括了socket通信的api socket connect bind listen accept send recv

http

📴wininet.dll是http,ftp协议的库,包括了

InternetOpen 初始化一个互联网的连接

InternetOpenUrl 放一个url地址

InternetReadFile从网络下载文件到本地

断点trick:

通常网络类的api调用在使用前需要调用WSASt

最低0.47元/天 解锁文章
恶意软件分析大合集
Sumarua的博客
05-09 1049
这个列表记录着那些令人称赞的恶意软件分析工具和资源。受到 awesome-python 和 awesome-php 的启迪。
网络安全-(护网蓝队生存指南)Windows恶意软件(LNK)分析(附详细案例讲解)
最新发布
zgz67611的博客
08-05 1529
LNK文件安全分析与恶意利用研究摘要 本文深入探讨了Windows LNK文件(快捷方式)的结构与安全风险。LNK文件通过指向目标文件或应用程序简化访问,但其灵活性也被恶意软件滥用。研究分析了30,000个恶意样本,总结出四类攻击手法: 漏洞利用:利用LNK解析漏洞(如CVE-2010-2568)触发系统漏洞; 恶意文件执行:通过LNK调用磁盘上的恶意脚本或二进制文件; 参数内脚本注入:在命令行参数中嵌入混淆的PowerShell、CMD或JavaScript代码; 覆盖内容攻击:在LNK文件尾部附加恶意数
FLARE VM:Windows恶意软件分析
我的学习笔记
02-28 2458
原文:https://www.fireeye.com/blog/threat-research/2017/07/flare-vm-the-windows-malware.htmlFLARE VM是一款免费开放的基于Windows的安全分发版,专为逆向工程师,恶意软件分析师,取证人员和渗透测试人员而设计。受到基于Linux的开放源代码启发,如Kali Li...
一款专业的 Windows 恶意程序分析与清理工具
yunmoon的博客
07-09 1万+
OpenArk允许用户查看和操作进程、线程、模块、句柄、内存、窗口等,并包含了进程注入等高级功能。此外,它还提供了内核级别的工具来检查和操作内存管理、驱动程序、热键、回调、过滤驱动等,以对抗和分析潜在的恶意软件行为。
若发现计算机感染了恶意代码,计算机感染恶意软件几种常见症状
weixin_31935149的博客
07-25 1646
原标题:计算机感染恶意软件几种常见症状我们在使用计算机设备就会出现一些问题,在点击网页一直在刷新,根本不会出现你想要搜索的页面内容,终于你受不了了,重启电脑,然而这一问题没有得到解决,还是出现之前这样的问题。这是你会发现自己的网络数据很慢,程序一直出现加载的状态,到后面很可能会导致电脑直接死机,出现这一系列问题很可能是因为电脑感染恶意软件导致的。恶意软件主要是指某些共享或者免费软件在未经用户允许...
解决virus:win32/ramnit.a病毒
庐陵居士
05-30 4701
现在导航到C:C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service。在这里,通过在键盘上按下 Shift + Del来删除DetectionHistory文件夹。转到顶部的"查看"选项卡并勾选"隐藏项"选项。按下win+E打开文件资源管理器。
Ramnit病毒简介
si1ence的博客
01-11 1万+
0x0 背景 1、Ramnit 病毒的网页传播方式 在被植入了 Ramnit 病毒的主机中,病毒会感染主机中的 .html 或 .htm 后缀的网页,在 .html 或 .htm 文件中添加如下的 vbs 攻击代码: 当使用低版本或安全策略配置不当的 IE 浏览器访问被 Ramnit 感染的 html 网页时,感染 html 网页的 vbs 攻击代码将被执行,创建并运行 Ramnit 病毒。继而 Ramnit 病毒会感染访问者本地计算机的 html 文件,从而形成蠕虫的自动...
26、便携式动态恶意软件分析与基于投影的人员识别技术
embedding5hiker的博客
06-24 50
本文介绍了两种网络安全相关技术:便携式动态恶意软件分析系统VirMon和基于投影的人员识别技术。VirMon利用虚拟化和内核回调机制,实时监控恶意软件的进程、注册表、文件系统及网络活动,具有良好的跨Windows版本兼容性和可扩展性。基于投影的人员识别技术则通过击键动力学数据,结合投影降维和机器学习分类方法,实现低成本、高适应性的身份验证。文章还分析了这两项技术的应用前景与挑战,并展望了其在网络安全和身份验证领域的未来发展潜力。
技术恶意软件分析报告:基于 Python 的 RAT 恶意软件
技术超强的网络安全平台
05-06 943
无论是个人还是工作,人们越来越依赖 Discord 等通讯平台,这为网络犯罪分子创造了新的攻击面。恶意软件开发者正在迅速适应这些平台,将其攻击活动嵌入到常用且受信任的环境中。本报告调查了一种基于 Python 的远程访问木马 (RAT),该木马通过将 Discord 转变为一个操作指挥中心,体现了这一趋势。它在规避或混淆技术方面并不特别先进,但其优势在于其简单易用以及对合法服务和库的有效利用。它利用了 Discord 流量通常未经过滤的宽松网络环境,并使用了广泛使用的 Python 库来融入良性系统活动。
VMware虚拟机NAT CPU使用率高解决办法
从零开始学习之路的博客
03-12 1461
用旧版本的vmnat.exe 替换C:\Windows\SysWOW64\vmnat.exe。
Virus.Win32.Ramnit.X专杀工具
07-09
Virus.Win32.Ramnit.X,Virus.Win32.Ramnit.a,Virus.Win32.Ramnit.b病毒专杀工具。
分析恶意Windows程序
weixin_51758733的博客
07-22 1084
分析恶意代码Windows程序
安装VMWare过程中蓝屏了(解决方案)
热门推荐
banketree
12-25 2万+
今天安装VMWare过程中蓝屏了,重启再次安装发现: The MSI 'C:\DOCUME~1\LOCALS~1\Temp\vmware_1295537967\vmware workstation.msi' failed 不管换多少个版本,都是上面的结果,原因是vmware在系统中有残留文件以及注册表信息。测试了网上一些删除操作,发现都不行。 但我发现下面的方法行: 退出所有的安全软件
Buildozer构架安卓应用
flippedd的博客
11-05 4291
Buildozer构架安卓应用 目录 虚拟机相关配置: buildozer 0.39安装 用Xubuntu18.04建立打包环境的过程以及错误 TIPS 附录 1、虚拟机相关配置: 1.1工具准备: 虚拟机:Oracle VM VirtualBox /VMware 如果再使用过程遇到错误: 错误提示:VERR-SUPDRV_HARDENING_EVIL_HANDLE(...
RegSetValueEx()一点备注
firesnake666的专栏
03-16 681
lRet = RegSetValueEx(hKey, MC_QS_BUBBLE_REG_QS_SHAREDESKTOP, NULL, REG_DWORD, (BYTE*)0x100, 4);上面这个写法不对,虽然编译时不会报错,但是不会执行成功的,改成下面的.   DWORD dwValue=0x100;   lRet = RegSetValueEx(hKey, MC_QS_BUBBLE_
访问win7中vmware7中NAT方式上网的server的iis服务
weixin_33845881的博客
12-21 144
我这里使用的环境:主操作系统:windows7x64U虚拟机:VMware7.0WorkstationVMware中的服务器:Windows2003SP2(IIS6,Sql2005)网络连接方式:NAT公司中一般一台主机只分配一个IP地址,如果使用桥接的话就要多占用一个IP地址资源,造成管理上的麻烦。虽然可能会有另一台主机做为测试服务器,但在某些时候可能会需要上面的情况,简单说一下解决方法。首先设...
Ramnit蠕虫
swordheart的博客
01-23 7465
Ramnit蠕虫 1、病毒简介 Ramnit 是一个典型的VBScript蠕虫病毒,能够通过网页挂马的方式进行传播,用户在浏览器中浏览挂载该恶意代码的HTML页面后并点击加载ActiveX控件后主机就有可能受到恶意代码的感染 2、病毒危害 Ramnit病毒可以监控网络访问活动等,可能导致网上银行交易等信息的泄露或盗取;该病毒还可以扫描和浏览服务器中的文件系统,获取敏感的文件信息;此外该病毒通过控制某台计算机可以作为攻击者的跳板对整个内部网络造成危害。 3、终端验证 1、文件 在被植入了
恶意代码分析-第七章-分析恶意Windows程序
每昔的博客
08-01 3970
目录 笔记: 实验: Lab 7-1 Lab 7-2 Lab 7-3 笔记: Windows API:管理恶意代码与微软程序库之间的交互方式 常用API类型: 类型 前缀 描述 WORD w 一个16位的无符号数值 DWORD ...
Malware Defender:高效主机入侵防御与恶意软件清除工具
特征匹配技术则基于已知恶意软件的签名数据库进行匹配,快速识别已知威胁。而启发式检测则用于识别未知或变种恶意软件,通过分析程序的结构、行为和意图来判断其是否具有恶意特征。 此外,Malware Defender 还具备 ...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值