1回答
我计划使用沙箱工具和目标Windows动态分析一些恶意软件示例。主机(物理机器)运行Ubuntu,其中包括沙箱和目标VM。
到目前为止,我只分析了良性样本,即正常软件。我将示例存储在Ubuntu主机中,并使用沙箱工具将它们注入到Windows中。沙箱然后运行示例并监视VM,然后生成一个包含API调用和其他信息的报告。现在我已经测试了安装程序并准备好分析真正的恶意软件,我注意到我的设置中存在一个潜在的安全缺陷。假设VM
浏览 0提问于2022-02-22得票数 0
2回答
恶意软件作者的心态
、、、
我正在研究常见的恶意软件特性,我在理解恶意软件作者所做的设计选择时遇到了一些困难。许多上述选择似乎都围绕着让人类分析人员很难分离恶意软件,同时也有可能使自动系统很容易被标记为“可能是恶意的”。唯一不能超过VM的情况是,有一个人在分析这个示例,如果一个有足够动力的人正在分析一个程序,那么他们最终将能够逆转它,那么为什么还要费心呢?例如,AV公司用来分析新的、可能是恶意的样本的反病毒引
浏览 0提问于2018-10-26得票数 3
我正在分析一个可执行文件,我看到它创建了一个进程子进程,其中有一个对NtUnmapViewOfSection的调用。我知道这种方法几乎总是恶意的,例如可以用于进程空洞化。我想知道,在分析沙箱中的可执行文件(在我的例子中是Cuckoo )时,是否有充分的理由看到这个方法被调用?或者我可以肯定有恶意的活动?
提前谢谢。
浏览 0提问于2016-01-10得票数 1
回答已采纳
我听说过太多关于人们打开一个看似无辜的docx或pptx文件的恐怖故事,这些文件是他们从商业伙伴那里得到的,结果却发现里面包含了恶意软件。如果一个有安全意识的人收到了他们希望看到的文档或ppt文件,但不能保证其来源的可靠性,他们应该怎么做?除了“不要这么做”之外,还有什么推荐的做法来处理这个问题吗?
浏览 0提问于2021-01-19得票数 1
我试图概念化一个服务器,用户可以在其中上传潜在危险的恶意软件示例到服务器。它们不需要存储在文件系统本身中,而是保存在内存中足够长的时间,以供其他程序/库进行分析。(类似于: VirusTotal)您是否知道与沙箱有关的资源,同时仍然公开程序经常使用的一些端口
浏览 0提问于2020-10-19得票数 0
1回答
我想建立一个手动沙箱来分析Windows系统上的恶意软件。我指的是手动环境,而不是像布谷山盒这样的自动化环境。
有很多工具,我选择了其中的一些工具,但我不知道每个工具是否值得。你能告诉我你的想法吗?如果这些工具对我的沙箱有用的话?“恶意行为”)、ViperMonkey (在Microsoft文档中检测VBA宏并模拟它们的行为)。您有关于我的设置和工具的任何命令吗?我想分析典型的恶意元素(PE、PDF、各种脚本、Off
浏览 2提问于2017-03-28得票数 1
回答已采纳
5回答
我看的是一个关于超级用户中双引导的问题,如果在双重引导上使用VM有额外的保护的话。据我所知,VM是它自己的沙箱,所有发生的事情(或几乎所有事情)都只会影响VM。现在,让我们说,你有2个硬盘,甚至1 HD,是双重引导。是否存在相同的安全沙箱?我会假设2个HDs比1更安全,以防恶意软件能够在sinlge HD上传播,对于VM来说这可能也是一样的吗?与使用vs双引导相比,有什么安全优势吗?
使用相同的HD为您的双<
浏览 0提问于2016-10-23得票数 3
1回答
我正在使用Cuckoo沙盒平台在来宾虚拟机上测试恶意软件检测。为了加快分析速度,我想删除挂起的分析,但保留已完成的分析。谢谢
浏览 13提问于2016-10-06得票数 1
撇开沙箱和AV不谈,如果我想手动查看/监视我的系统,查看它们通常进入的位置,我在哪里可以查找可能的恶意Java病毒/活动,例如,它们会首先显示在任务管理器或临时文件中吗?
有什么工具吗?
浏览 0提问于2012-12-16得票数 0
这里有人刚刚发表了一个有趣的声明;他们说,恶意软件(例如Windows )可以通过重新启动而留在RAM中,并在机器启动时继续在Linux上工作。
他们是对的?我几乎肯定这是不可能的,但我很高兴被纠正。
浏览 0提问于2018-09-12得票数 2
回答已采纳
1回答
出于效率的原因,我正在尝试在单个来宾虚拟机中同时运行多个样本,这比分布式布谷鸟解决方案或使用几个来宾虚拟机的效率更高。然后,如果在任何URL中检测到任何恶意活动,我将找到恶意URL,并使用所有其他布谷鸟插件和模块等对其活动进行更深入的检查。
你能想出一个用布谷鸟做的方法吗?或任何解决方法?我的用例是,我有很多样本,但只有极少数是恶意的,所以为每个样本运行虚拟机将是对资源的浪费。
浏览 16提问于2016-06-23得票数 3
2回答
我正在尝试分析虚拟机(linux)中的恶意软件,但是它使用丘比特输出来验证它是否在虚拟机/沙箱中,并且拒绝在虚拟环境中运行恶意代码。是否可以更改/伪造cpuid指令的输出,以便当恶意软件检查cpuid标志时,它会看到非虚拟化机器的cpuid?我想过这个可能的解决方案:2- $ run malware
3-当恶意软件调用cpuid时,它将看到非虚拟化环境的标志并执行恶意代码
浏览 0提问于2019-10-29得票数 3
1回答
我打算开始学习如何做恶意软件分析和取证,但我有一两个担心。然而,我担心的是VM的逃逸。这是其中一种情况,恶意软件需要非常具体地编写以逃避VM,如果我正在对我打算分析的样本进行适当的研究,那么它就不应该引起关注了吗?我想另一个问题是,
浏览 0提问于2019-12-09得票数 4
回答已采纳
我有几个恶意软件存储库,但是我无法让bin文件执行,也无法将文件归类为windows。我已经包含了一些文件名,这样您就可以看到我正在使用的内容。在尝试进行动态分析之前,我已经对这些文件进行了静态分析。另外,我忘了说,我是为一所大学做这项研究的,谢谢
浏览 12提问于2020-11-05得票数 0
2回答
我有一个web服务器供我的客户上传他们的PDF文件。我也有一个IDS/IPS与反恶意软件许可证,这是在用户和web服务器之间,并阻止恶意PDF文件上传。问题是,如果它检测到一个没有再次看到它的pdf文件(这意味着它的SHA),它允许上传它,然后在一个专用的沙箱云环境中发送它进行分析。除了这件事之外,还有什么我应该考虑阻止的吗?
浏览 0提问于2018-10-30得票数 4
回答已采纳
2回答
所以昨天我上了我的电脑,改变了我的桌面,第二天我上了我的电脑,它冻结了,所以我重新启动它。但是当我这样做的时候,我的桌面背景已经改变了,当我在google上运行时,大量的搜索都显示出我没有做过,它们看起来都像这样的"gdyfpazjexc -site:youtube.com“。我不知道这些搜索是什么,但他们肯定有一些危险信号。当我的电脑坏了,当我重新开始工作的时候,它真的很难运行。我在评论部分做一些笔记。如果有人能帮我,那就太好了,谢谢!undefined
浏览 0提问于2017-05-26得票数 1
回答已采纳
2回答
我试着在我的虚拟实验室里运行一些恶意软件样本来捕捉他们的国际奥委会。我这样做是为了我的硕士论文,但我似乎无法让恶意软件运行。我正在运行一个petya恶意软件示例,从混合分析网站下载。有人有执行恶意软件的经验,可以帮助新手吗?
我更像是一个基础设施和操作系统的家伙。我原以为跑步会
浏览 0提问于2018-01-14得票数 2
我已经指示学生不要卸载反病毒,因为运行这些恶意文件本身是不安全的。它甚至可能在网络上传播。
其中一个学生建议使用Windows模式。这安全吗?是否有另一种方法来解决这个问题,例如建立一个实验室,以显示恶意软件的受害者发生了什么?
浏览 0提问于2012-11-01得票数 21
回答已采纳
是否存在针对其他编程语言开发的其他病毒/蠕虫/木马的恶意JavaScript代码的签名?
如果是这样的话,这些JavaScript恶意软件签名的定义是否与在其他“标准”恶意软件中定义的方式相同?我之所以问这个问题,是因为我需要下载一些已知JavaScript恶意软件的签名,以便对我的“反恶意软件”进行无害的测试,比如用Python编写的脚本。
浏览 0提问于2014-04-22得票数 9
回答已采纳
有很多恶意软件可以检测它是在VM还是沙箱环境中运行,如果检测到这种环境,就可以隐藏它,而不是执行它。那么,为什么不把一切都变成VM呢?现在所有系统都安全了!我知道不是所有的恶意软件都是这样的,但是考虑到现在有很多云服务在远程服务器上运行在VM上,这是否意味着它们都对这些类型的恶意软件免疫呢?我知道并非所有的网络安全威胁都涉及恶意软件,但这个问题的重点主要是恶意软件攻击。
浏览 0提问于2021-02-15得票数 55
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
即时通信 IM
实时音视频活动推荐
腾讯云开发者
