推荐三篇相关工具及技术的文章: 恶意软件分析大合集 恶意代码分析相关工具&漏洞挖掘相关工具 探寻APT的化学本质与破解之术 2.追踪溯源案例 这里分享两个简单的案例,一个是铁人王进喜案例,另一个是Lazarus...追踪溯源方法 恶意样本的追踪溯源需要以当前的恶意样本为中心,通过对静态特征和动态行为的分析,解决如下问题: 谁发动的攻击? 攻击背景是什么? 攻击的意图是什么? 谁编写的样本?...5.同源分析 该方法主要为在获取到恶意样本后,很难第一时间关联到攻击者或者恶意样本提供者的信息,但是可以通过和历史恶意代码进行相似度分析,获得历史攻击事件,从而关联到相应的组织或团体。....宏病毒之入门基础、防御措施、自发邮件及APT28宏样本分析 [系统安全] 二十.PE数字签名之(上)什么是数字签名及Signtool签名工具详解 [系统安全] 二十一.PE数字签名之(中)Signcode...] 三十一.恶意代码检测(1)恶意代码攻击溯源及恶意样本分析 参考文献: [1]姜建国,王继志,孔斌,等.
声明:本人坚决反对利用文章内容进行恶意攻击行为,一切错误行为必将受到惩罚,绿色网络需要靠我们共同维护,推荐大家在了解技术原理的前提下,更好的维护个人信息安全、企业安全、国家安全。...0x01 前言 做为一名网络安全爱好者在日常工作中难免会用到一些恶意软件检测平台,用来分析一些木马样本,例如:钓鱼邮件的恶意样本分析,分析网上下载的工具是否存在木马后门,自己编写了免杀工具查看其免杀效果等...接下来,小编通过网上搜集了一些恶意软件检测的在线平台,总结如下: 0x02 恶意软件检测分析平台 VirSCAN: https://www.virscan.org VirusTotal: https:/...: https://www.maldun.com 微步在线云沙箱: https://s.threatbook.cn 腾讯哈勃分析系统: https://habo.qq.com 奇安信威胁情报中心: https...://ti.qianxin.com 大圣云沙箱检测系统: https://mac-cloud.riskivy.co
我们需要知道这个恶意代码到底做了什么,如何进行有效检测,才能进一步消除它带来的影响。 本文主要通过几个简单的步骤,分享恶意样本分析的基本方法。...---- 1、多引擎在线病毒扫描 找到了一个恶意样本程序,通过多病毒引擎进行安全扫描,可以帮助你判断文件是否为恶意程序。 VirSCAN:免费多引擎在线病毒扫描1.02版,支持47个杀毒引擎。...2、文件哈希值 文件哈希值是恶意代码的指纹,通过它用来确认文件是否被篡改,也可以通过HASH值查找恶意样本,一般我们也可以使用多种哈希验证文件的唯一性。 ?...可通过获取关键信息,来猜测恶意代码的功能。 ? 6、云沙箱分析 将恶意样本上传到微步云沙箱,通过威胁情报、静态和动态行为分析,以发现恶意程序存在的异常。...微步云沙箱: https://s.threatbook.cn/ ? 7、动态行为分析 通过火绒剑对文件行为、注册表行为、进程行为、网络行为进行分析,捕获恶意样本特征。 ?
Cuckoo Cuckoo(布谷鸟)沙箱是一个开源且免费的自动化的恶意样本分析系统。...,概述该文件在沙箱中执行时的行为,支持分析Windows, macOS, Linux, 和 Android下的恶意文件....当提交样本到cuckoo host后,cuckoo host会调度一个空闲的analysis guest节点,同时将样本传递给所选择的沙箱节点进行自动化分析,分析结束之后将沙箱节点采集到的分析数据进行汇总...等待状态变为reported说明已经分析完成,点击任务可查看分析报告 总结 总体来说cuckoo还是一款比较完善且专业的开源沙箱分析系统, 对于研究分析恶意软件和应急响应人员来说都是一个很不错的选择...稍有差错会导致运行失败 英文界面, 需要使用者具有一定的英语基础 内存分析时间太长, 基本都在半小时左右 更新迭代慢(最新版本为2019年发布) 默认的规则, 样本库对恶意软件的支持较少 对于新的恶意软件需要使用者自己编写
熊猫烧香行为分析 查壳 因为程序肯定是病毒,我就不上传杀毒网去查杀了。正常我们在分析一个未知恶意程序的时候,流程都是要先上传杀毒网看看。...导出表中分析出URLDownload函数,此函数多为下载者恶意程序。 弱口令内网135端口爆破 感染U盘 下载者功能 135弱口令爆破密码。 U盘感染字符串关键字。 恶意下载者函数。...行为分析 进程树监控 这里我们还是用Process Monitor来监控病毒行为,打开Process Monitor,在筛选条件中将“样本.exe”加入到筛选器的“Process Name”中,然后运行病毒...Delphi逆向小技巧 其实Delphi有专门的反编译器,其效果不比IDA Pro差,甚至更胜一筹,其中值得比较推荐的一款就是IDR。...,就有分析出样本.exe会把自身拷贝到这个目录,达到伪装隐蔽的效果。
0x01 概述 恶意软件HawkEye的利用大多都是通过钓鱼邮件分发,利用office直接启动HawkEye主体或者一些经过加密的程序,本文中的VB Inject属于后者,也把重心放在了调试这个VB程序上...VirusTotal上的该样本信息: ? 病毒名大多为VBKrypt或者VBInject。 0x02 行为监控 ?...用wireshark抓网络行为,发现该样本会访问http://whatismyipaddress.com/,并与yandex邮件服务器建立连接。 ?...0x05 样本主体 在之前的行为监控中,注意到,样本在C:\User\user\AppData\Romaing\目录下生成了三个文件 pid.txt,pidloc.txt,WindowsUpdate.exe...反编译成功后,发现该程序是恶意软件HawkEye,用于凭据窃取,包括电子邮件Web浏览器,Bitcoin钱包,反病毒检查,键盘记录等。
关于Norimaci Norimaci是一款针对macOS的轻量级恶意软件分析沙箱,Norimaci使用了OpenBSM和Monitor.app的功能来监控macOS操作系统的活动(没有使用Sysinternals...我们需要构建一个macOS虚拟机来执行恶意软件样本。...广大研究人员可以使用下列命令将该项目源码克隆至本地: git clone https://github.com/mnrkbys/norimaci.git 工具使用 结合OpenBSM使用 1、使用sudo运行norimaci.py; 2、运行恶意软件样本...1、使用sudo运行norimaci.py; 2、Norimaci启动Monitor.py后输入密码,因为Monitor.app需要密码来安装它的kext文件; 3、运行一个恶意软件样本; 4、等待一段时间...page=Blog&month=2019-12&post=Installing-a-Fake-Internet-with-INetSim-and-PolarProxy 精彩推荐
与“分析一个用于传播Hancitor恶意软件的Word文档(第一部分)”【https://www.freebuf.com/articles/system/181023.html】一文中描述的现象很相似。...经过对宏文档和PE负载的分析,发现本次样本包含的宏代码与Hancitor文档宏代码有较大的变化,但是通过对内含主要PE负载文件的分析,发现二者基本一致,比如IDA反汇编后形式、代码加密执行、网络通信协议...因此,可基本判定本次恶意邮件攻击属于Hancitor恶意邮件攻击行动。...二、恶意宏分析 打开后,发现宏包含了两个窗体对象UserForm1和UserForm2,并且包含的内容都是“4d5a9000”开头的字符串,很明显这是两个PE文件。 ?...三、结语 与以往宏病毒样本相比,本次恶意宏文档具备如下的几个特点: 1、没有网络下载动作。文档内直接包含恶意负载部分,没有利用类似powershell脚本下载恶意文件。 2、没有直接进程执行动作。
2 除了对邮件头欺骗、发件人欺骗、邮件钓鱼和邮件恶意链接检测外,一旦发现包含可疑邮件附件,通过内置沙箱虚拟执行环境,可以对各种基于邮件附件传输的样本模拟运行分析,捕获其动态行为、网络行为、进程行为、文件行为...、注册表行为等关键信息,识别其中可疑的样本特点,快速对网络中传输的恶意样本进行预警,及时通知被攻击方提高安全防范意识,防止出现被感染的情况。...提示:收到一封邮件,来自天猫的双十一优惠卷。 殊不知,另一场邮件门骗局拉开帷幕。。。 ? 但进一步对发件人的邮箱链接分析,发现实际发件人邮箱并非来自阿里巴巴。...根据安恒态势感知APT沙箱分析报告显示,该exe样本的主要行为有:写入自启动注册表,增加自启动2;创建网络套接字连接;打开服务控制管理器;创建非常规服务;收集电脑网卡信息;收集计算机名(通过注册表);获取当前用户名...根据安恒态势感知APT沙箱报告可自动分析其行为过程图: ? 其中关键的恶意行为有释放恶意文件行为,即在打开的过程中还会进一步释放两个其他恶意文件,用于执行后删除文件和拷贝覆盖文件: ?
这篇文章将讲解如何利用MS Defender实现恶意样本家族批量标注,在通过VS、VT采集批量样本后,通常需要样本家族标注,如何准确识别家族类别至关重要,其将为后续的恶意软件家族分类或溯源提供帮助。...代表性恶意软件如下表所示: 恶意代码溯源是指通过分析恶意代码生成、传播的规律以及恶意代码之间衍生的关联性,基于目标恶意代码的特性实现对恶意代码源头的追踪。...二.利用MS Defender批量标注恶意软件 假设存在如下所示的恶意软件,包括PE样本、Powershell样本和XLM样本,MD5仅给出部分。...1.构建恶意软件样本白名单 通常,我们会遇到的第一个问题是:这些病毒样本会被杀毒软件查杀,如何解决呢?...在此感谢作者,并推荐大家阅读原文。 https://xz.aliyun.com/t/5666 总之,通过相似度计算和摩尔投票确实可以更准确地标注恶意家族。
声明:本人坚决反对利用教学方法进行犯罪的行为,一切犯罪行为必将受到严惩,绿色网络需要我们共同维护,更推荐大家了解它们背后的原理,更好地进行防护。...代表性恶意软件如下表所示: 恶意代码溯源是指通过分析恶意代码生成、传播的规律以及恶意代码之间衍生的关联性,基于目标恶意代码的特性实现对恶意代码源头的追踪。...因此,如何有效检测恶意软件,溯源恶意软件至关重要。那么,当我们从VS、VT、微步在线等网站采集海量样本,如何对恶意软件的家族进行标注呢?这就是本文需要研究的问题。...二.利用火绒批量标注恶意软件 假设存在如下所示的恶意软件,包括PE样本、Powershell样本和XLM样本,MD5仅给出部分。我们需要利用火绒软件识别恶意家族。...在此感谢作者,并推荐大家阅读原文。 https://xz.aliyun.com/t/5666 总之,通过相似度计算和摩尔投票确实可以更准确地标注恶意家族。
前期准备完成,便可以着手进行样本分析了。 样本可从app.any.run获取,使用邮箱免费注册后,便可以下载该沙箱的公开样本 小c随便在该沙箱选择了一个样本,下载,准备开搞 ?...---- 动态行为 ---- 在样本分析的过程中,首先通过虚拟机,沙箱等运行样本,看样本执行什么样的行为,再根据其行为去分析样本中代码,这样的方式有助于加快分析速度。...---- 01 本地虚拟机 首先通过第一节搭建的分析环境运行样本(最好将虚拟机设置位断网状态),对于此类32位的样本,推荐使用SysTracer进行行为抓取。...将释放的dllcheck.exe设置为计划任务,实现持久性 02 外部沙箱 这次选用微步在线沙箱(https://s.threatbook.cn/)运行样本试一下(在以后正式的工作中,最好别将公司安排分析的样本传到外部沙箱...,在实际静态分析恶意代码之前,可先通过查阅同家族样本相关报告,先熟悉该家族木马,再进行详细分析。
再比如淘宝的推荐系统,购买电脑推荐鼠标、键盘等。 当然,上面仅仅是一个比较简单的问题,当我们推广到恶意代码检测等复杂问题时,如果不了解这个领域,可能就会导致模型的结果不理想。...根据步骤中对训练样本进行预处理的方式,可以将检测分为静态分析与动态分析: 静态分析不运行待检测代码,而是通过直接对程序(如反汇编后的代码)进行统计分析得到数据特征 动态分析则在虚拟机或沙箱中执行程序,获取程序执行过程中所产生的数据...(2) 动态分析 利用虚拟机或沙箱执行待测程序,监控并收集程序运行时显现的行为特征,并根据这些较为高级的特征数据实现恶意代码的分类。...、防御措施、自发邮件及APT28宏样本分析 [系统安全] 二十.PE数字签名之(上)什么是数字签名及Signtool签名工具详解 [系统安全] 二十一.PE数字签名之(中)Signcode、PEView...] 三十一.恶意代码检测(1)恶意代码攻击溯源及恶意样本分析 [系统安全] 三十二.恶意代码检测(2)常用技术万字详解及总结 [系统安全] 三十三.恶意代码检测(3)基于机器学习的恶意代码检测技术 参考文献
这篇文章是作者2022年参加清华大学、奇安信举办的DataCon比赛,主要是关于涉网FZ分析,包括恶意样本IOC自动化提取和攻击者画像分析两类题目。...] 三十一.恶意代码检测(1)恶意代码攻击溯源及恶意样本分析 [系统安全] 三十二.恶意代码检测(2)常用技术万字详解及总结 [系统安全] 三十三.恶意代码检测(3)基于机器学习的恶意代码检测技术 [系统安全...ATT&CK技战术 [系统安全] 四十六.恶意软件分析 (3)动态分析经典沙箱Cape的安装和基础用法详解 [系统安全] 四十七.恶意软件分析 (4)Cape沙箱批量提取动态API特征 [系统安全] 四十八....恶意软件分析 (5)Cape沙箱分析结果Report报告的API序列批量提取详解 [系统安全] 四十九.恶意家族分类 (1)基于API序列和机器学习的恶意家族分类实例详解 [系统安全] 五十.恶意家族分类...2022年DataCon涉网分析之恶意样本IOC自动化提取详解
恶意文件分析在应急响应中也是十分重要的一环,up把恶意文件分析分为两个大类来讲。...一、常见病毒木马样本分析 这类简而言之,那就是市面上拥有姓名的病毒or木马文件,什么老一辈的灰鸽子啊,现在新型的银狐,还有Windows提权的土豆家族这种,最简单的方式就是放入云沙箱一查杀,底细十分清楚...二、未知型 这类包含了所有未出现过的木马、病毒,或者强大变种,被高度二次开发的等等等等,up自己布置了一个环境,约等于本地沙箱,内置了各种查进程(推荐移步up上几篇讲进程分析的去看看)、查壳、查调用等的工具...(不是打广告和推荐工具),一键扒拉就很方便看了,当然,这里也推荐用一下云沙箱来先做一下,毕竟有虚拟机逃逸的风险,市面上的云沙箱动态分析还是到位的,主要看看针对注册表的修改和对文件的改写、权限的更改等等,...总结 威胁情报+云沙箱+手工分析 —> 得出结论
Linux恶意文件在分析处置过程中,与其他环境恶意文件分析思路大体相同,但仍有其一些特有的特点困扰着linux管理员。...得益于安全社区的努力,目前已有大量在线病毒库提供各类恶意文件签名信息(部分提供样本下载),本次调研数据来源分别来自内外部,收集下外部网站恶意文件样本: http://www.virusign.com/...如需进一步扩大样本范围,推荐采用critical stack intel订阅malware相关feed ,收集更多的malware host或url,下载更多样本(具体critical-stack-intel...最终整合内外部数据,取样共2139个linux恶意文件样本,分布如下 ? 0x01....要使用后验判断的方式,避免恶意文件执行造成的风险,就需要采用沙箱或虚拟化技术,本文综合使用了cuckoo, Habo, Noriben三种沙箱,沙箱的部署使用方法不在本文赘述。
配对样本t检验的功能与意义 SPSS的配对样本t检验过程也是假设检验中的方法之一,跟所有的假设检验一样。其依据的基本原理也是统计学中的“小概率反证法”原理。...通过配对样本t检验,我们可以实现对成对数据的样本的均位比较。其与独立样本t检验的区别是两个样本数据的顺r补序不能调。...相关数据来源 研究一种减肥药效果,抽取20名实验者,根据配对样本t检验的方法判断该药对实验者体重是否有明显变化。 SPSS分析过程 分析--比较均值--配对样本t检验: ? 选项: ?...结果分析 数据基本统计量表 ? 配对样本相关系数表 ? 说明服药前后体重的相关系数很高 配对样本t检验结果表 ? 临界置信水平0.453远大于5%,说明该药物并没有引起实验者体重的明显变化。
三、ANY.RUN:https://any.run Any.Run是一种恶意软件分析沙箱服务,研究人员可以利用交互式Windows桌面查看恶意软件的行为,而Any.Run可以记录其网络活动,文件活动和注册表更改...研究人员在新的密码窃取木马垃圾邮件活动中发现,恶意软件会检测是否在Any.Run上运行,如果是恶意软件会自动退出而无法执行,因此沙箱无法对其进行分析。...七、微步在线云沙箱:https://s.threatbook.cn ThreatBook Cloud Sandbox恶意软件分析平台,与传统的反恶意软件检测不同,微步云沙箱提供完整的多维检测服务,通过模拟文件执行环境来分析和收集文件的静态和动态行为数据...用户可以通过简单的操作,上传样本并得知样本的基本信息、可能产生的行为、安全等级等等信息,从而更便捷地识别恶意文件。...大圣云沙箱是一款基于云端架构的高级威胁检测和恶意软件免费分析服务,通过引入沙箱技术对最新高级恶意软件进行虚拟执行、行为捕获等全面深入的分析检测。
其中负载分析主要是指通过沙盒对样本进行更深层次的分析以发现依靠简单特征无法发现的高级威胁,但在对恶意样本分析的过程中,发现越来越多的逃逸和对抗样本,这些样本在对抗沙箱检测的过程中先会对虚拟机环境进行识别...4.4.3 样本同源性分析技术 样本同源性分析技术是对APT事件追踪关键的一个环节,恶意代码与正常程序的区别在于其运行后会对计算机及网络系统产生危害。...▲ 图 4‑18 勒索病毒行为调用过程 以下是样本同源性分析的具体思路: 通过沙箱可以提取所有样本的具体恶意行为,而其中一些样本是具有相应的规律的,尤其是出自相同的黑客组织,这些同源的恶意代码在具体的行为操作上有着相同或相似的片段...▲ 图 5‑1 勒索病毒分类 5.2 勒索病毒以遍历文件与加密行为为主 通过沙箱分析技术,可以对勒索病毒精准分类判断,通过沙箱取样分析并提取其中的关键行为,包括进程行为、文件行为、网络行为等信息,其中的典型恶意行为排序如下...▲ 图 5‑3 勒索病毒执行过程 在沙箱分析过程中发现了新型勒索病毒样本具备大量的反调试行为,用于对抗调试器的分析。
背景 对于威胁情报的分析很大部分都是需要基于恶意样本为载体进行展开分析的,白帽研究员、二进制分析以及逆向研究员在学习和研究过程中,也需要各种类型的恶意样本进行研究分析。...3、https://tria.ge/reports/public 该平台的恶意样本量还有恶意样本的种类还是比较丰富的,同时也有对应的恶意样本的分析报告,可以结合需要进行获取恶意样本。...4、https://www.hybrid-analysis.com/ 该平台对样本分析识别是否为恶意样本,采用AV的检测方案,同时检测的指标还很多,也对恶意样本进行风险评估,并且将样本里面的攻击方案和防护方案都做分析...国内恶意样本源 1、微步在线云沙箱: https://s.threatbook.com/ 这个微步云沙箱平台的恶意样本也是各种类型都有并且样本量也很多,对恶意样本分析也很详细的。...2、奇安信威胁情报中心: https://ti.qianxin.com/ 这个平台的恶意样本和威胁情报分析还是很不错,对于威胁情报分析奇安信还是很专业的,可以结合前面平台进行分析和恶意样本获取。
领取专属 10元无门槛券
手把手带您无忧上云