首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

恶意样本 | 常用恶意软件分析平台

声明:本人坚决反对利用文章内容进行恶意攻击行为,一切错误行为必将受到惩罚,绿色网络需要靠我们共同维护,推荐大家在了解技术原理前提下,更好维护个人信息安全、企业安全、国家安全。...0x01 前言 做为一名网络安全爱好者在日常工作中难免会用到一些恶意软件检测平台,用来分析一些木马样本,例如:钓鱼邮件恶意样本分析分析网上下载工具是否存在木马后门,自己编写了免杀工具查看其免杀效果等...接下来,小编通过网上搜集了一些恶意软件检测在线平台,总结如下: 0x02 恶意软件检测分析平台 VirSCAN: https://www.virscan.org VirusTotal: https:/...: https://www.maldun.com 微步在线云沙箱: https://s.threatbook.cn 腾讯哈勃分析系统: https://habo.qq.com 奇安信威胁情报中心: https...://ti.qianxin.com 大圣云沙箱检测系统: https://mac-cloud.riskivy.co

2K30

恶意样本基础分析技巧

我们需要知道这个恶意代码到底做了什么,如何进行有效检测,才能进一步消除它带来影响。 本文主要通过几个简单步骤,分享恶意样本分析基本方法。...---- 1、多引擎在线病毒扫描 找到了一个恶意样本程序,通过多病毒引擎进行安全扫描,可以帮助你判断文件是否为恶意程序。 VirSCAN:免费多引擎在线病毒扫描1.02版,支持47个杀毒引擎。...2、文件哈希值 文件哈希值是恶意代码指纹,通过它用来确认文件是否被篡改,也可以通过HASH值查找恶意样本,一般我们也可以使用多种哈希验证文件唯一性。 ?...可通过获取关键信息,来猜测恶意代码功能。 ? 6、云沙箱分析恶意样本上传到微步云沙箱,通过威胁情报、静态和动态行为分析,以发现恶意程序存在异常。...微步云沙箱: https://s.threatbook.cn/ ? 7、动态行为分析 通过火绒剑对文件行为、注册表行为、进程行为、网络行为进行分析,捕获恶意样本特征。 ?

1.9K20
  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    红蓝对抗-Cuckoo 恶意软件分析沙箱部署教程

    Cuckoo Cuckoo(布谷鸟)沙箱是一个开源且免费自动化恶意样本分析系统。...,概述该文件在沙箱中执行时行为,支持分析Windows, macOS, Linux, 和 Android下恶意文件....当提交样本到cuckoo host后,cuckoo host会调度一个空闲analysis guest节点,同时将样本传递给所选择沙箱节点进行自动化分析分析结束之后将沙箱节点采集到分析数据进行汇总...等待状态变为reported说明已经分析完成,点击任务可查看分析报告 总结 总体来说cuckoo还是一款比较完善且专业开源沙箱分析系统, 对于研究分析恶意软件和应急响应人员来说都是一个很不错选择...稍有差错会导致运行失败 英文界面, 需要使用者具有一定英语基础 内存分析时间太长, 基本都在半小时左右 更新迭代慢(最新版本为2019年发布) 默认规则, 样本库对恶意软件支持较少 对于新恶意软件需要使用者自己编写

    6K10

    负载恶意软件HawkEyeVB Inject样本分析

    0x01 概述 恶意软件HawkEye利用大多都是通过钓鱼邮件分发,利用office直接启动HawkEye主体或者一些经过加密程序,本文中VB Inject属于后者,也把重心放在了调试这个VB程序上...VirusTotal上样本信息: ? 病毒名大多为VBKrypt或者VBInject。 0x02 行为监控 ?...0x05 样本主体 在之前行为监控中,注意到,样本在C:\User\user\AppData\Romaing\目录下生成了三个文件 pid.txt,pidloc.txt,WindowsUpdate.exe...这些功能都是通过解密出来PE实现样本VB代码只相当于一个外壳,运行时解密、创建子进程、注入进程等。...接下来尝试用.NET反编译工具dnSpy试试。 ? 反编译成功后,发现该程序是恶意软件HawkEye,用于凭据窃取,包括电子邮件Web浏览器,Bitcoin钱包,反病毒检查,键盘记录等。

    1.1K10

    Norimaci:一款针对macOS轻量级恶意软件分析沙箱

    关于Norimaci  Norimaci是一款针对macOS轻量级恶意软件分析沙箱,Norimaci使用了OpenBSM和Monitor.app功能来监控macOS操作系统活动(没有使用Sysinternals...在该工具帮助下,广大研究人员可以轻松监控macOS下恶意软件活动情况。...我们需要构建一个macOS虚拟机来执行恶意软件样本。...广大研究人员可以使用下列命令将该项目源码克隆至本地: git clone https://github.com/mnrkbys/norimaci.git  工具使用  结合OpenBSM使用 1、使用sudo运行norimaci.py; 2、运行恶意软件样本...1、使用sudo运行norimaci.py; 2、Norimaci启动Monitor.py后输入密码,因为Monitor.app需要密码来安装它kext文件; 3、运行一个恶意软件样本; 4、等待一段时间

    93010

    三十一.恶意代码检测(1)恶意代码攻击溯源及恶意样本分析

    家族溯源: 家族变体是已有恶意代码在不断对抗或功能进化中生成新型恶意代码,针对变体家族溯源是通过提取其特征数据及代码片段,分析它们与已知样本同源关系,进而推测可疑恶意样本家族。...基于静态分析检测对非混淆样本更为准确,而基于动态分析检测在检测混淆恶意软件方面表现更为出色;基于机器学习检测是通过对大规模恶意样本进行特征提取(如 API(application programming...追踪溯源方法 恶意样本追踪溯源需要以当前恶意样本为中心,通过对静态特征和动态行为分析,解决如下问题: 谁发动攻击? 攻击背景是什么? 攻击意图是什么? 谁编写样本?...5.同源分析 该方法主要为在获取到恶意样本后,很难第一时间关联到攻击者或者恶意样本提供者信息,但是可以通过和历史恶意代码进行相似度分析,获得历史攻击事件,从而关联到相应组织或团体。...总觉得自己技术浅,要学知识好多,读博真心不容易,加油,祝福所有博士战友们。 这篇文章中如果存在一些不足,还请海涵。作者作为网络安全初学者慢慢成长路吧!希望未来能更透彻撰写相关文章。

    4.8K30

    恶意代码分析实战六:熊猫烧香病毒样本分析

    熊猫烧香行为分析 查壳 因为程序肯定是病毒,我就不上传杀毒网去查杀了。正常我们在分析一个未知恶意程序时候,流程都是要先上传杀毒网看看。...导出表中分析出URLDownload函数,此函数多为下载者恶意程序。 弱口令内网135端口爆破 感染U盘 下载者功能 135弱口令爆破密码。 U盘感染字符串关键字。 恶意下载者函数。...“样本.exe”对于注册表是没有实质影响。...main入口函数 用“倚天剑”IDA Pro载入样本后可以看到如下图: 图1是样本main函数入口最开始汇编代码,我们不从第一行汇编代码开始看,因为大部分内容都是Delphi自动生成,我们只找关键位置来看...,就有分析样本.exe会把自身拷贝到这个目录,达到伪装隐蔽效果。

    3.3K20

    一个Hancitor恶意邮件活动Word文档样本分析

    很明显,恶意文档打开后使用了一个干净文档替换原来文档内容,一是使恶意文档不重复进行感染,二是更好隐蔽保护自身。 ?...与“分析一个用于传播Hancitor恶意软件Word文档(第一部分)”【https://www.freebuf.com/articles/system/181023.html】一文中描述现象很相似。...经过对宏文档和PE负载分析,发现本次样本包含宏代码与Hancitor文档宏代码有较大变化,但是通过对内含主要PE负载文件分析,发现二者基本一致,比如IDA反汇编后形式、代码加密执行、网络通信协议...二、恶意分析 打开后,发现宏包含了两个窗体对象UserForm1和UserForm2,并且包含内容都是“4d5a9000”开头字符串,很明显这是两个PE文件。 ?...三、结语 与以往宏病毒样本相比,本次恶意宏文档具备如下几个特点: 1、没有网络下载动作。文档内直接包含恶意负载部分,没有利用类似powershell脚本下载恶意文件。 2、没有直接进程执行动作。

    1.6K10

    恶意样本和威胁情报资源分享

    背景 对于威胁情报分析很大部分都是需要基于恶意样本为载体进行展开分析,白帽研究员、二进制分析以及逆向研究员在学习和研究过程中,也需要各种类型恶意样本进行研究分析。...下面是我平时研究学习恶意样本威胁情报主要来源地方,国外国内恶意样本分析平台还有很多很优秀平台以及其他网络渠道(例如github),可以根据自己需要进行恶意样本获取。...3、https://tria.ge/reports/public 该平台恶意样本量还有恶意样本种类还是比较丰富,同时也有对应恶意样本分析报告,可以结合需要进行获取恶意样本。...国内恶意样本源 1、微步在线云沙箱: https://s.threatbook.com/ 这个微步云沙箱平台恶意样本也是各种类型都有并且样本量也很多,对恶意样本分析也很详细。...4、魔盾安全分析: https://www.maldun.com/analysis/ 这个平台检测分析是基于Yara规则进行对样本分析恶意样本量也还可以。

    71340

    工作想法从哪里

    提出论点 研究想法,兼顾摘果子和啃骨头。...两年前,曾看过刘知远老师一篇文章《研究想法从哪里来》,直到现在印象依然很深刻,文中分析了摘低垂果实容易,但也容易撞车,啃骨头难,但也可能是个不错选择。...初入团队,寻找自己立足点,需要一个工作想法。每年末,抓耳挠腮做规划,想要憋出一个工作想法。很多同学,包括我自己,陆陆续续零零散散想到很多点,然后自己不断否掉。...其中有一个点当时认为还不错,是做攻击者画像反方向,攻击者画像是从黑样本角度从十几个维度把攻击者数字化掉,那按照逻辑顺序中空间维度推导逻辑,就可以做反面从白名单角度数字化正常用户,把一个人设备、(域...引用 研究想法从哪里来 杜跃进:数据安全治理基本思路 来都来了。

    8.2K40

    恶意样本对抗栈回溯检测机制套路浅析

    最近发现有很多漏洞利用或木马程序样本会通过一些技术手段,达到使自动化检测系统或分析人员调试工具栈回溯机制失效目的。...在本文中我将会简单分析和推测一下这类恶意样本都是通过哪些套路来实现和栈回溯机制对抗。需要注意是,文中讨论堆栈都是代指线程在用户层堆栈,并未涉及内核层堆栈。...0x0 准备 用这两天遇到某个样本举例来说吧。那是个 RTF 文件格式 CVE-2015-1641 漏洞利用样本。...这时候样本尚未加载并执行 ShellCode,所以这两个值在这时候是纯净。...突然注意到,多次执行这个恶意样本并同样在 NtCreateUserProcess 命中断点时,这时候 ESP 和 EBP 值始终是 0x0900XXXX 左右地址,而 StackBase 和 StackLimit

    80220

    五十七.恶意软件分析 (9)利用MS Defender实现恶意样本家族批量标注(含学术探讨)

    这篇文章将讲解如何利用MS Defender实现恶意样本家族批量标注,在通过VS、VT采集批量样本后,通常需要样本家族标注,如何准确识别家族类别至关重要,其将为后续恶意软件家族分类或溯源提供帮助。...代表性恶意软件如下表所示: 恶意代码溯源是指通过分析恶意代码生成、传播规律以及恶意代码之间衍生关联性,基于目标恶意代码特性实现对恶意代码源头追踪。...二.利用MS Defender批量标注恶意软件 假设存在如下所示恶意软件,包括PE样本、Powershell样本和XLM样本,MD5仅给出部分。...第五步,选择包含恶意软件“malware”文件夹,自此设置白名单。...[6] 【论文学习】测量和建模恶意软件在线分析平台标签动态

    25910

    五十八.恶意软件分析 (10)利用火绒安全实现恶意样本家族批量标注(含学术探讨)

    代表性恶意软件如下表所示: 恶意代码溯源是指通过分析恶意代码生成、传播规律以及恶意代码之间衍生关联性,基于目标恶意代码特性实现对恶意代码源头追踪。...因此,如何有效检测恶意软件,溯源恶意软件至关重要。那么,当我们从VS、VT、微步在线等网站采集海量样本,如何对恶意软件家族进行标注呢?这就是本文需要研究问题。...二.利用火绒批量标注恶意软件 假设存在如下所示恶意软件,包括PE样本、Powershell样本和XLM样本,MD5仅给出部分。我们需要利用火绒软件识别恶意家族。...同时,通过建立不同引擎间关联证明了其中一些引擎存在紧密联系,部分系统易受其他系统影响,推翻了所有引擎平权综合假设。最后用正确标注参考数据来检验结论正确性。...[6] 【论文学习】测量和建模恶意软件在线分析平台标签动态

    30010

    如何设置自己Dionaea蜜罐来收集恶意软件样本

    简介 许多安全人员都热衷于恶意软件逆向工程。在本文中我将教大家设置一个自己Dionaea蜜罐,来协助我们恶意软件样本收集工作。...FB百科 Dionaea是一款低交互式蜜罐,是Honeynet Project 开源项目。Dionaea 蜜罐设计目的是诱捕恶意攻击,获取恶意攻击会话与恶意代码程序样本。...它通过模拟各种常见服务,捕获对服务攻击数据,记录攻击源和目标 IP、端口、协议类型等信息,以及完整网络会话过程,自动分析其中可能包含shellcode及其中函数调用和下载文件,并获取恶意程序。...因此,他们可能也不会允许你在他们服务器上收集恶意软件样本。 AWS设置 现在我们开始设置AWS实例。...cd build # cmake -DCMAKE_INSTALL_PREFIX:PATH=/opt/dionaea … # make # make install # cd /opt/dionaea/

    1.3K40

    微前端03 : 乾坤沙箱容器分析(Js沙箱机制建立后具体应用)

    “在微前端01 : 乾坤Js隔离机制(快照沙箱、两种代理沙箱)中,我们知道了乾坤沙箱核心原理和具体实现。...我们也在微前端02 : 乾坤微应用加载流程分析(从微应用注册到loadApp方法内部实现)中提到了在加载微应用过程中跟沙箱相关部分逻辑,但受限于篇幅并未展开。...关于沙箱实例,我们先看创建沙箱实例时候传入了globalContext,还记得我们在微前端01 : 乾坤Js隔离机制(快照沙箱、两种代理沙箱)中各沙箱极简版吧,当时我直接用window,那为什么在真实源码中要通过传入...具体应该在哪里更新这个containerConfig,更新containerConfig中哪个属性对应值,我们在后文会提到。 最后,dynamicStyleSheetElements是什么?...实际上就是保存一个style标签对象和其中内容之间关系。这里保存cssRules在下文分析中会用到。

    81720

    病毒分析快速入门(二)--实战QuasarRAT

    概述 ---- 小c忙活半天,总算把环境配。 前期准备完成,便可以着手进行样本分析了。...样本可从app.any.run获取,使用邮箱免费注册后,便可以下载该沙箱公开样本 小c随便在该沙箱选择了一个样本,下载,准备开搞 ?...---- 动态行为 ---- 在样本分析过程中,首先通过虚拟机,沙箱等运行样本,看样本执行什么样行为,再根据其行为去分析样本中代码,这样方式有助于加快分析速度。...将释放dllcheck.exe设置为计划任务,实现持久性 02 外部沙箱 这次选用微步在线沙箱(https://s.threatbook.cn/)运行样本试一下(在以后正式工作中,最好别将公司安排分析样本传到外部沙箱...dllcheck.exe 网络行为 ip-api.com collinserver.ddns.net 通过动态行为已经可得知样本所属家族 ,在实际静态分析恶意代码之前,可先通过查阅同家族样本相关报告

    3.5K41

    针对“DorkBot”样本分析

    Dorkbot感染地理分布 恶意软件本质上是一个通用下载器和一些二进制组件启动器,主要模块是用于执行DDoS攻击或窃取密码。此次分析是基于在过去一个月中多次捕获到一个在野样本。...键名称是预先生成GUID,路径为复制到%appdata%下恶意文件。 Ø 在一个单独线程中删除原始恶意软件文件(除非当恶意软件从一个非移动介质运行,并成功地注入到exe)。...图6:恶意软件注册一个类 文件修改监控:一个线程会不断地计算%appdata%下复制恶意二进制文件CRC32,并将其与原始文件CRC32进行比较。...如果找到这样文件,则通过以下参数去执行exe去修改目标路径(使用IPersistFile COM类): Ø 由恶意软件生成包含恶意软件副本路径。...图12:CnC域名解密函数 在恶意软件中可以观察到以下类型通信: Ø HTTP GET 请求一个文件从样本C2服务中。

    1.3K60

    样本差异分析

    缘起 前两天,曾老师给了我一个8个样本8个组别的转录组数据,即每组只有一个样本转录组数据。一看到这个数据,还是感到挺震惊,毕竟作者这样太节省经费了。...此处,就挑选样本号890与891结尾两个样本SC-WT+Vehicle与SC-WT+STZ组样本进行差异分析吧。...组单样本进行差异分析结果。...验证差异基因中Pvalb、Cox7a1与Cox6a2中只有一个发生显著上调,与作者原文具有一定区别。这是为什么呢?为什么两者分析结果存在不同呢?感兴趣小伙伴们可以点评下。...除此之外,曾老师还提供了一个批量对8次差异分析结果进行差异分析脚本。由于篇幅与时间问题,我们在下次再对其进行展示吧。

    1.8K20

    二进制程序分析指南

    沙箱分析—Cuckoo 测试过程中需要限制样本影响,研究人员在沙箱解决方案中运行恶意软件样本沙箱工具通常提供内存转储分析功能,因此可以更好地了解内存中发生情况。...黑客知道,如果他们恶意软件样本在虚拟机或沙盒中运行,病毒样本会被轻易执行、行为检测或者自动化逆向分析出来,黑客会选择自我保护、伪装。其实黑客与安全研究人员沙箱之间攻防战争,从来没有结束过。...互联网上有多种免费沙箱解决方案,研究人员可以在上传样本并等待报告。...threatbook.cn Cuckoo沙箱被称为安全圈领先开源自动恶意软件分析系统。...沙箱可以在本地部署,并且需要一台主机(管理终端)和多个沙箱客户端(分析用虚拟机),客户端数量取决于样本数量以及服务器性能。

    2K10

    恶意代码分析班作业 | 学习恶意代码分析需要环境安装

    文章来源|MS08067 恶意代码分析实战班作业 本文作者:Qber(恶意代码分析1期学员) T1-配置Win7虚拟机 Step1:启动虚拟机 Step2:配置虚拟机-安装常用软件 Step3:拍摄快照...chrome浏览器,vs studio 2022 Step3:拍摄快照 打上一个快照,如果后期不小心把环境弄崩溃了,可以随时还原,快照类似一个系统还原点,如果还是不放心,可以把配置vmware...T4:运行并观察恶意代码 太恶意软件,也没想不到什么,特别是win10下,很多恶意软件跑不起来,这运行一个用于内网渗透代理转发软件,可能也不是很恶意,因为它也可以拿来做有用事情吧。...一般来说,一个程序运行,就会在系统里留下一些痕迹,比如进程,注册表,服务启动项,网络连接,tmp等,通过这些增改变动,我们可以反推出这个恶意软件想要做什么,从而去针对性分析它。...恶意代码分析分类: 恶意代码分析也可作为单独安全专业类别来看待,不过总体是偏逆向方向,希望受众是逆向相关就行了,比如以前只会逆向但是不会恶意代码分析,或者想提升自己能力渗透测试人员。

    76620
    领券