病毒分析系列3 | 初步动态分析工具使用

原创 已于 2022-11-02 22:03:29 修改 · 1k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #网络 #web安全 #网络安全

于 2022-11-02 22:02:00 首次发布

前言

接上篇。使用动态分析工具对病毒进行初步分析,可以确定和获取到病毒的相关操作

Process Explorer使用

在进程右键 →查看属性,可以获得关于该进程的信息,如TCP/IP流量信息:捕获异常流量,线程模块:看线程是否异常等。

Process Monitor使用

Process Monitor 提供了一种方式来监控注册、文件系统、网 络、进程、线程行为,可以获取和监视很多数据。换言之,可以直观看到一个程序执行了什么操作。

基本使用

在点击捕获后可以获取到电脑此时在执行的操作

过滤条件设置

开启该程序监视后,会发现出现了很多的事件,此时要在成千上万的事件中找到信息就需要用到过滤功能,比如:设置包含该文件路径,执行时便可以筛去很多多余的信息。

可替换工具 火绒剑

中文显示,可能会符合有的人的使用习惯。使用方法同上:设置过滤等

总结

其实到初步动态分析这一步,很多病毒的基本分析已经可以实现了。但是如果遇到病毒本身具有较强的反调试、反分析的能力,那还需要进行逆向分析。

如果有需要,基本分析这一块还可以展开讲讲,欢迎大家反馈。

病毒系列工具下载

链接:https://pan.baidu.com/s/1zvbV36y1-IV2R_HzkGhrjw?pwd=xu2j
提取码:xu2j
解压密码后台回复关键字:病毒(公众号:SpaceSec安全团队)

声明

1. 本文初衷为分享网络安全知识,请勿利用技术做出任何危害网络安全的行为,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由**使用者**本人负责,与SpaceSec安全团队及作者无关!
2. 文章中部分学习内容来自于网络,回馈予网络,如涉及版权问题,请联系删除。
3. SpaceSec 保留对文章绝对的解释权,转载与传播时须保证文章的完整性,同时标明出处。未经允许,禁止转载或用于商业用途。

使用Process Monitor工具监测进程对注册表和文件的操作(常用分析工具
dvlinker的技术专栏
06-23 1万+
本文详细介绍了如何使用Process Monitor工具监测进程对注册表和文件的操作活动,并给出了对应的监测范例。
[知识小节]Process Monitor介绍
热门推荐
网络安全知识分享
03-05 1万+
Process Monitor1、工具基本介绍2、使用场景3、常见用法4、实例分析 1、工具基本介绍 Process Monitor是微软推荐的一款系统监视攻击,能供实时显示文件系统、注册表、网络连接于进程活动的攻击工具。它整合了一些工具,其中Folemon专门用来监视系统中的任何文件操作过程,Regmon用来监视注册表的读写操作过程。 Filemon:文件监视器 Regmon:注册表监视器 同时。Process Monitor增加了进程ID、用户、进程可靠度等监视项。它的强大功能足以使Process
14、Process Monitor 使用指南
最新发布
t4y5u6i7o的博客
11-24 20
本文详细介绍了 Process Monitor(Procmon)的使用方法,涵盖启动时活动查看、注销后持续监控、长时间跟踪的日志大小控制、配置导入导出、命令行自动化操作以及多种数据分析工具使用。通过流程图和实例命令,帮助用户高效进行系统行为监控与问题排查,同时提醒注意资源占用、数据安全及系统兼容性等关键事项。
Process Monitor工具使用实验(23
yyj1781572的博客
03-07 3920
本实验主要介绍了ProcessMonitor工具使用,通过本实验的学习,你能够学会Process Monitor实用小工具使用,学会如何利用Process Monitor工具观察程序进程/线程、文件系统、注册表、网络连接等。
病毒分析必备工具及基本流程
huobengle
11-03 536
快毕业了也应该给自己定个明确的方向,对于病毒分析这方面的知识确实还是感兴趣的,这里收集了一些资料,给大家分享一下。 以下来自乌龟,略有改动先说说硬件: 条件允许的情况下,2条不同网络运营商提供的线路,2台或以上的电脑,具体配置自己感觉满意就行 虽然用虚拟机也可以,但难免某些恶意代码有虚拟机检测机制,所以能用真机就尽量用了必备工具: Windows XP(别嫌弃老,老有老的好处,轻便+省事)...
病毒分析常用工具
哆啦安全
09-14 1760
FileMonitor(系统文件监视器) 查壳工具 ProcessMonitor(监控程序运行) StudyPE+查壳PE样本的导入表 upx脱壳工具 Windows可执行二进制文件静态分析取证工具 查看PE文件信息工具 PYG密码学综合工具 RECalcTool.app.ver2.3.win QT静态编译单文件版本 https://pan.baidu.com/s/151UVHKb7gjviX...
病毒分析系列2 | 使用PE工具进行初步静态分析
SpaceSec的博客
11-02 6360
接上篇。进行病毒分析时,在进行具体的病毒行为分析前,需要或许可疑文件的基本信息,此时可以使用pe工具进行分析和获取在该文章中所涉及的知识主要是pe文件格式的相关知识,使用文字进行原理说明会相对冗余。
加壳formbook病毒分析中间文件
02-08
初步分析可能包括使用工具如PEiD来识别是否使用了常见的加壳技术,如UPX、VMProtect或ConfuserEx等。 **第二阶段:脱壳**。由于Formbook使用了加壳技术,因此需要进行脱壳以揭示其内部的原始代码。脱壳是一个复杂的...
linux病毒木马分析,Linux平台“盖茨木马”分析
weixin_42557803的博客
05-14 1459
最近对Linux.BackDoor.Gates.6的一个病毒样本进行了分析,通过调查发现Linux盖茨木马是一类有着丰富历史,隐藏手法巧妙,网络攻击行为显著的DDoS木马。这篇文章主要介绍了Linux盖茨木马的分析过程,同时会讲解在Linux环境下恶意软件分析的常用技巧和安全工具使用方法。盖茨木马整体情况此类Linux木马主要恶意特点是具备了后门程序,DDoS攻击的能力,并且会替换常用的系统文件...
病毒分析工具包:检测杀毒软件无法识别的恶意程序
因此,“病毒分析.zip”所提供的工具极有可能包括静态分析工具(如十六进制编辑器、PE结构查看器)、动态分析环境(如沙箱系统、调试器)、行为监控组件(如API调用追踪、注册表与文件系统监控)以及自动化分析框架...
号称病毒之王的“熊猫烧香”详细分析
Test网络安全
09-12 1万+
01-样本概况 1.1-样本信息 基本信息 文件: C:\Users\15pb-win7\Desktop\xiongmao.exe 大小: 30001 bytes 修改时间: 2018年7月14日, 8:40:21 MD5: 512301C535C88255C9A252FDF70B7A03 SHA1: CA3A1070CFF311C0BA40AB60A8FE3266CFEFE870 CRC32: E334747C 病毒行为: 1.在系统目录下生成病毒程序
病毒分析工具IceSword
06-08
病毒分析工具:IceSword可以用来分析病毒和木马
EXE行为分析工具
01-01
分析EXE文件行为,可以用于下载文件试运行可能是病毒的文件,且不会对系统造成破坏
作业三 使用病毒分析工具病毒进行分析
m0_56948411的博客
06-04 1326
作业三 使用病毒分析工具病毒进行分析实验目的1、学习和掌握如何使用工具病毒进行分析。2、学习和掌握病毒的各项行为,并对行为做出。实验环境操作环境:Windows7实验工具:腾讯哈勃分析系统、Process Monitor、PeiD、IDA pro、Regshot实验原理通过几种病毒分析工具,对病毒进行分析。实验过程与分析 如图1-1所示,使用腾讯哈勃分析系统对病毒进行分析。如图1-2所示,上传病毒worm文件到系统中,分析出来的结果是“高度风险“。下面有病毒的详细信息。 如图1-3所示,首先是基本信息,
病毒分析工具使用方法(一)
lirunling的博客
11-13 1万+
加壳验证工具 所谓病毒加壳,是指经过系列数学运算,将可执行程序文件或动态链接库文件的编码进行改变(目前还有一些加壳软件可以压缩、加密驱动程序),以达到缩小文件体积或加密程序编码,从而使病毒文件逃过杀毒软件的查杀。查看文件是否加壳最常用的工具是PEiD。 PEiD(PE Identifier)是一款著名的查壳工具,其功能强大,几乎可以侦测出所有的壳,其数量已超过470 种PE 文档 的加壳类型和...
病毒分析教程第二话--动态行为分析
安全杂货铺
07-07 3981
静态特征分析 教程参考自《恶意代码分析实战》 程序来自:http://www.nostarch.com/malware.htm 静态特征分析可以说是分析一个病毒的前奏,属于比较简单的分析分析环节包括:VT检测、编译时间、加壳信息、导入函数、可疑字符串,等等。 Lab 1-1 本节实验使用到两个样本Lab01-01.dll和Lab01-01.exe。 VT检测 ...
计算机病毒实践汇总三:动态分析基础(分析程序)
weixin_30865427的博客
05-13 441
在尝试学习分析的过程中,判断结论不一定准确,只是一些我自己的思考和探索。敬请批评指正! 1. 实践内容 搜索、下载并执行Process Monitor,观察随着时间的推移,软件所记录信息;设置监控条件对恶意代码敏感的功能进行监控。 搜索、下载并执行Process Explorer,查看进程列表,选择相应进程进行签名验证,对比其硬盘上的文件和内存中的镜像,结合Dependency Walker对其...
病毒分析常用软件
kernweak的博客
08-20 2063
Process Explorer进程浏览器,可以使用验证 Dependency Walker探索动态链接函数 RegShot 注册表比较工具 ApateDNS 查看恶意代码发出DNS请求。 Netcat进行网络监控 Wireshark 抓包 INetSim 基于linux模拟常见的网络服务软件 Process Explorer 可以看加载的dll还有handle Process M...
[转]病毒分析工具-OllySafe
kerson的专栏
12-09 1872
<br />[转]病毒分析工具-OllySafe2009年03月11日 星期三 10:04<br /> 转自  作者:domino<br />原帖地址:http://www.unpack.cn/viewthread.php?tid=21146&extra=page%3D1<br />OllySafe<br /><br />一、What’s fucking this<br /><br />病毒分析工具OllySafe其实就是MiniSafe的专业版,是一个专门为病毒分析员提供的OllyDbg插件,它可以对病毒
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值