介绍数种病毒样本分析格式归纳分析策略

最新推荐文章于 2024-10-01 00:20:08 发布
最新推荐文章于 2024-10-01 00:20:08 发布
阅读量179 收藏
点赞数
本文介绍了几种常见的恶意软件分析方法,包括卡巴斯基式APT分析、金山火眼式分析及Comodo在线分析等,并探讨了如何从不同角度评估恶意软件的危害性和技术实力。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

数种病毒样本格式:

1卡巴斯基式APT分析

具体到骨子里.有意图分析和模块关系.编写者特征等.IP溯源家常便饭.

2金山火眼式

  1. 基本信息
  2. 火焰点评
  3. 危急行为
  4. 其他行为
    1. 行为描写叙述
    2. 附加信息
  5. 注冊表监控
  6. 网络监控

值得注意的是火眼使用最多两种哈希来确定一个样本.当然你能够使用其一.
火眼地址格式

3Comodo(毛豆)在线分析式

这是一张典型的使用毛豆进行扫描的结果:
毛豆格式1
毛豆格式2

Comodo的通过SHA256来进行样本查询操作:
毛豆地址格式

4.SysTracer的监控报告

这里应该简介一下SysTracer,它是一款行为追踪监控程序.”丧心病狂”地使用了大量的钩子:Shadow SSDT的667个函数所有被钩,SSDT也未能”幸免”,总共284个函数除了NtAcceptConnectPort,NtAddAtom,NtDeviceIoControlFile,NtYieldExecution外的280个函数所有被钩.这保证了一般恶意程序的行为会被完整地记录下来.
值得注意的一点是,以往的跟踪经验发现相互排斥对象的建立并没有被SysTracer记录.此外因为机制所限对于内核程序的行为SysTracer就素手无策了.

下面是它的监控报告:
SysTracer的监控报告

如你所见,它将样本创建的不同进程的行为分门别类进行叙述.便于反病毒project师对样本的行为的清晰了解.假设再加上树形图怎么样?

分析

反APT式分析须要大量具有相关反APT专业知识的反病毒project师的增加.因此不适合普通恶意程序的分析.可是人工经验能够总结以使机器对普通恶意程序的分析也能做到部分效果.比如对恶意程序作者的编程指纹提取.假设做到机器分析更有助于所谓的对程序作者定位.

我们该怎样去做

首先我们应当对恶意程序进行归类.

1危害性

远程控制端是否有效?

还是这仅仅是一个遗失的定时炸弹?
一个失控的程序后门可能意味不论什么一个恶意者都可能利用这里控制恶意程序继续对用户信息安全带来威胁.

2技术实力-程序的自我保护与复杂程度

对方是否使用了行之有效的规避杀软的手法?

或者最新漏洞的利用?


强势的自我保护一般是为了掩盖很多其他的信息.也意味着制作者的团队规模非同平常.这往往伴随着大量的机器被感染甚至可能组成僵尸网络.
这种程序值得我们去用卡巴斯基式分析去探究.以使我们对样本研究给其他反病毒project师提供很多其他信息.

[系统安全] 十四.熊猫烧香病毒IDA和OD逆向分析--病毒释放过程(下)
杨秀璋的专栏
01-08 5375
如果你想成为一名逆向分析或恶意代码检测工程师,或者对系统安全非常感兴趣,就必须要认真分析一些恶意样本。熊猫烧香病毒就是一款非常具有代表性的病毒,当年造成了非常大的影响,并且也有一定技术手段。本文将详细讲解熊猫烧香的行为机理,并通过软件对其功能行为进行分析,这将有助于我们学习逆向分析和反病毒工作。后续作者还将对其进行逆向调试,以及WannaCry勒索蠕虫、各种恶意样本及木马的分析。基础性文章,希望您喜欢!
数据分析实习-业务题准备
Morganfs的博客
03-24 1869
想挑战一下自己能不能做一做数据相关的工作,准备在暑期尝试投一投数据分析相关的实习。 虽然希望不大,但还是要努力准备一下,整理了一部分面试/笔试时可能会考的业务题(来源各处的面经、笔经),尽量考虑面试和自己能掌握的实际,梳理了自己的思维模板,并非是很专业的整理,总结如下: 一、费米(估算)问题 二、A/B测试问题 三、指标搭建/选取问题 四、异常归因问题
病毒样本分析小结
星焱宖
05-27 3303
这是笔者跟从具有多年反病毒引擎开发人员学习感悟的一些知识点,希望与大家一同交流
病毒样本分析学习一
最新发布
weixin_45299049的博客
10-01 2068
简单的一次静态病毒样本分析
【2018-10-30】粗略分析某感染性病毒样本
weixin_33881140的博客
11-02 303
样本下载 样本原文件 链接我的分析过程文件 链接提示:请勿实体机分析 文件信息收集 查看文件类型,标准的PE头 改名后使用查壳工具查看是否有壳 总共3个区段,不清楚是什么壳!也不清楚是用什么编程语言写的 使用IDA加载,查看是否有关键字符串信息 看来字符串之类的也被加密或者压缩了 动态分析-脱壳 由于不清楚是什么壳,所以只有尝试多...
一例感染型病毒样本分析
好好学习,天天向上
04-28 1957
这个样本是会释放两个dll和一个驱动模块,通过感染USB设备中exe文件传播,会向C&C下载PE执行,通过rookit关闭常用的杀软,是一例典型的感染型病毒,有一定的学习价值。
病毒分析
a562449131的博客
08-30 2193
病毒分析第一讲,分析病毒注意事项,以及简单分析主要功能 一丶认识木马和病毒的区别 木马和病毒是两个不一样的,有人会把木马认为是病毒,但其实不是 说下区别 木马:   木马没有破坏性,木马主要功能是收集用户信息,控制机器等等. 病毒:   病毒一般带有破坏性的行为,比如格式化盘符,修改电脑的文件,传染.... 二丶分析病毒的前提准备 1.在分析病毒样本之前,首先要把...
数据挖掘在计算机网络病毒防御中的应用 (8).pdf
07-14
1. 反病毒软件研发的成果积累了大量的病毒样本,为数据挖掘提供了丰富基础。 2. 大数据时代使得利用数据挖掘技术提取计算机网络系统中的有价值信息成为必要。 3. 数据挖掘中的关联规则挖掘技术对于发现数据模型与...
数据挖掘在计算机网络病毒防御中的应用.pdf
07-14
1. 现有的反病毒软件已经积累了丰富的病毒样本,为数据挖掘提供了基础。这些样本可以用于训练模型,以识别新的病毒变种。 2. 在大数据时代,数据挖掘能够从网络系统中提取有价值的信息,帮助构建防护系统,实现信息...
数据分析的六种方法论和八种思路
雪雪
03-04 3985
估计很多人都听过数据分析,但是真正做起来却不是那么一回事了。要么胡子眉毛一把抓,要么无从下手。这说明缺少理论知识的支持,那么本文就将盘点一下数据分析常用的方法论和思路,作为数据分析入门的基础。 数据分析的流程 在介绍数据分析方法论和思路之前,我们还是先不厌其烦地看一下数据分析的流程,简单来说分为以下六个步骤: 1、明确分析的目的,提出问题。只有弄清楚了分析的目的是什么,才能准确定位分析因子,...
病毒分析的工具 FFI PE 木马样本进行系统处理
01-16
本工具是一款辅助进行病毒分析的工具,它包括各种文件格式识别功能,使用超级巡警的格式识别引擎,集查壳、虚拟机脱壳、PE文件编辑、PE文件重建、导入表抓取(内置虚拟机解密某些加密导入表)、进程内存查看/DUMP、附加数据处理、文件地址转换、PEID插件支持、MD5计算以及快捷的第三方工具利用等功能,适合病毒分析中对一些病毒木马样本进行系统处理。 本软件产品为免费软件,用户可以非商业性地下载、安装、复制和散发本软件产品。如果需要进行商业性的销售、复制和散发,例如反病毒公司用来批量分析木马,必须获得DSWLAB的授权和许可,商业公司及团队使用本软件必须获得DSWLAB的授权和许可。 详细功能说明如下: 一、查壳功能: 支持文件拖拽,目录拖拽,可设置右键对文件和目录的查壳功能,除了FFI自带壳库unpack.avd外,还可以使用扩展壳库(必须命名为userdb.txt,此库格式兼容PEID库格式,可以把自己收集的userdb.txt放入增强壳检测功能)。 注:如果是使用扩展库里特征查出的壳,在壳信息后面会有 * 标志。 二、脱壳功能: 如果在查壳后,Unpack按钮可用,则表示可以对当前处理文件进行脱壳处理,采用虚拟机脱壳技术,您不必担心当前处理文件可能危害系统。 三、PE编辑功能: 本程序主界面可显示被检查的程序的入口点/入口点物理偏移,区段等信息,并且提供强大的编辑功能。 其中PE Section后按钮可以编辑当前文件的节表,点击后出现Sections Editor窗口。 主要功能有:
病毒分析整体思路
include_voidmain的博客
11-15 1436
对于病毒分析,其实比拼的就是windows api的理解还有足够的信心和耐心,需要一个很长久的一个时间去磨一个病毒文件,否则这个病毒想做什么,你可能是一直都不知道的,只要耐心的去看,去磨,去查,慢慢的就自己能看懂了,做好标记,因为有很多时候,都有防止你破解的动作,比如加壳,花指令,混淆等,但是这里没有,以后会碰到。这是整个静态调试的大题,但是静态调试有一些东西是看不出来的,所以要进行一次动态调试,由于这个有个验证网站的限制,导致病毒是运行不起来的,所以我们可以在前面看一下内存转储看一下。
Android病毒样本分析(2)
ireader135的博客
03-23 1355
1.基本信息 病毒名称: a.privacy.fakeccb.a[建设控件] 文件名称: BWM在线 文件MD5: E32377EE18BF0D853D5B45DEDFB6997D 文件包名: com.qqquanquan1031606149 危害属性: 恶意勒索   2.基本行为 程序启动后直接锁屏,以勒索用户   3.详细分析 1、在入口函数内启动服务 tr
KimSuky病毒样本分析
weixin_43781139的博客
03-16 650
0x00 前言准备 kimsuky APT组织(又名Mystery Baby, Baby Coin, Smoke Screen, BabyShark, Cobra Venom) ,该组织一直针对于韩国的智囊团,政府组织,新闻组织,大学教授等等进行活动.并且该组织拥有windows平台的攻击能力,载荷便捷,阶段繁多。并且该组织十分活跃.其载荷有带有漏洞的hwp文件,恶意宏文件,释放载荷的PE文件等。 实验环境:win10 分析工具:火绒剑 IDA x32dbg die procmon ...
Wannacry勒索病毒样本分析
热门推荐
谈成(C/C++)
05-14 1万+
一、病毒简介: WannaCry(又叫Wanna Decryptor),一种“蠕虫式”的勒索病毒软件,大小3.3MB,由不法分子利用NSA(National Security Agency,美国国家安全局)泄露的危险漏洞“EternalBlue”(永恒之蓝)进行传播 。勒索病毒肆虐,俨然是一场全球性互联网灾难,给广大电脑用户造成了巨大损失。最新统计数据显示,100多个国家和地区超过10万台电脑遭到了勒索病毒攻击、感染。勒索病毒是自熊猫烧香以来影响力最大的病毒之一。WannaCry勒索病毒全球大爆发,至少15
NEMUCOD病毒jse样本分析
好好学习,天天向上
12-08 2523
病毒使用微软的JScript编写,能够直接运行在Windows操作系统之上,采用了加密和混淆手段对抗监测,可检测是否运行在虚拟机中和系统中是否存在分析工具,可感染可移动存储介质,主要功能为下载器。CC服务器为185.159.82.15,通过关联威胁情报,该样本为NEMUCOD家族样本,该病毒通过垃圾邮件传播。
病毒分析中的一点小结
richard1230的博客
03-03 785
病毒分析中的一些小结(病毒行为分析) (样本为office2003恶意代码样本) 更多文章在https://www.jianshu.com/u/314d85d378a7 发现其动作是释放PE文件: 上图中标示出来的文字为:它(hkcmd)的动作是File_Touch(创建文件),创建的文件为datac1en.dll 其他的行为动作类似推理!...
病毒样本来源
kernweak的博客
08-26 2003
https://bbs.pediy.com/thread-253872.htm
sola病毒样本
weixin_34320724的博客
09-09 1135
前些日子别人把U盘借去用,用了之后发现U盘里面所有的jpg变成jpg.exe,wrod变成word.exe;仔细检查U盘发现我的U盘下面Autorun.inf免疫文件下面还有一个Autorun.inf,里面的文件为: SOLA_1.0_2.0[autorun]shell\打开(&O)\command=mshta "javascript:new Activ...
基于攻击树的脚本病毒样本深度分析与防治策略
作者首先在对攻击树分析方法和脚本病毒基本原理进行研究的基础上,提出了创新性的分析策略。脚本病毒,特别是针对Windows脚本宿主(Windows Scripting Host, WSH)环境的病毒,由于其利用脚本语言进行恶意活动,使得...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值