声明:本人坚决反对利用文章内容进行恶意攻击行为,一切错误行为必将受到惩罚,绿色网络需要靠我们共同维护,推荐大家在了解技术原理的前提下,更好的维护个人信息安全、企业安全、国家安全。...0x01 前言 做为一名网络安全爱好者在日常工作中难免会用到一些恶意软件检测平台,用来分析一些木马样本,例如:钓鱼邮件的恶意样本分析,分析网上下载的工具是否存在木马后门,自己编写了免杀工具查看其免杀效果等...接下来,小编通过网上搜集了一些恶意软件检测的在线平台,总结如下: 0x02 恶意软件检测分析平台 VirSCAN: https://www.virscan.org VirusTotal: https:/.../any.run NoDistribute: http://nodistribute.com Hybrid Analysis: https://www.hybrid-analysis.com 魔盾安全分析...: https://www.maldun.com 微步在线云沙箱: https://s.threatbook.cn 腾讯哈勃分析系统: https://habo.qq.com 奇安信威胁情报中心: https
我们需要知道这个恶意代码到底做了什么,如何进行有效检测,才能进一步消除它带来的影响。 本文主要通过几个简单的步骤,分享恶意样本分析的基本方法。...---- 1、多引擎在线病毒扫描 找到了一个恶意样本程序,通过多病毒引擎进行安全扫描,可以帮助你判断文件是否为恶意程序。 VirSCAN:免费多引擎在线病毒扫描1.02版,支持47个杀毒引擎。...2、文件哈希值 文件哈希值是恶意代码的指纹,通过它用来确认文件是否被篡改,也可以通过HASH值查找恶意样本,一般我们也可以使用多种哈希验证文件的唯一性。 ?...可通过获取关键信息,来猜测恶意代码的功能。 ? 6、云沙箱分析 将恶意样本上传到微步云沙箱,通过威胁情报、静态和动态行为分析,以发现恶意程序存在的异常。...7、动态行为分析 通过火绒剑对文件行为、注册表行为、进程行为、网络行为进行分析,捕获恶意样本特征。 ?
例如,Gostev等通过分析Stuxnet与Duqu所用的驱动文件在编译平台、时间、代码等方面的同源关系,实现了对它们作者的溯源。...上图是将溯源对象Windows平台的PE恶意文件或Android平台的APK恶意文件输入溯源系统,经过特征提取、特征预处理、相似性计算、同源分析获取溯源结果,最终判定攻击家族或作者。...5.同源分析 该方法主要为在获取到恶意样本后,很难第一时间关联到攻击者或者恶意样本提供者的信息,但是可以通过和历史恶意代码进行相似度分析,获得历史攻击事件,从而关联到相应的组织或团体。...进行数据直接套现,或者通过信息倒卖平台间接变现。...2020年8月18新开的“娜璋AI安全之家”,主要围绕Python大数据分析、网络空间安全、人工智能、Web渗透及攻防技术进行讲解,同时分享CCF、SCI、南核北核论文的算法实现。
熊猫烧香行为分析 查壳 因为程序肯定是病毒,我就不上传杀毒网去查杀了。正常我们在分析一个未知恶意程序的时候,流程都是要先上传杀毒网看看。...导出表中分析出URLDownload函数,此函数多为下载者恶意程序。 弱口令内网135端口爆破 感染U盘 下载者功能 135弱口令爆破密码。 U盘感染字符串关键字。 恶意下载者函数。...行为分析 进程树监控 这里我们还是用Process Monitor来监控病毒行为,打开Process Monitor,在筛选条件中将“样本.exe”加入到筛选器的“Process Name”中,然后运行病毒...main入口函数 用“倚天剑”IDA Pro载入样本后可以看到如下图: 图1是样本的main函数入口最开始的汇编代码,我们不从第一行汇编代码开始看,因为大部分内容都是Delphi自动生成的,我们只找关键位置来看...,就有分析出样本.exe会把自身拷贝到这个目录,达到伪装隐蔽的效果。
0x01 概述 恶意软件HawkEye的利用大多都是通过钓鱼邮件分发,利用office直接启动HawkEye主体或者一些经过加密的程序,本文中的VB Inject属于后者,也把重心放在了调试这个VB程序上...VirusTotal上的该样本信息: ? 病毒名大多为VBKrypt或者VBInject。 0x02 行为监控 ?...用wireshark抓网络行为,发现该样本会访问http://whatismyipaddress.com/,并与yandex邮件服务器建立连接。 ?...0x05 样本主体 在之前的行为监控中,注意到,样本在C:\User\user\AppData\Romaing\目录下生成了三个文件 pid.txt,pidloc.txt,WindowsUpdate.exe...反编译成功后,发现该程序是恶意软件HawkEye,用于凭据窃取,包括电子邮件Web浏览器,Bitcoin钱包,反病毒检查,键盘记录等。
因此,来自以色列的网络安全以及恶意软件研究人员Ran Dubin和Ariel Koren博士开发并在Black Hat大会上发布了一款革命性的产品——以人工智能驱动的具有机器学习能力的恶意软件研究平台—...旨在帮助用户在受到攻击前就及时识别恶意软件样本并作出相应动作。 但是,由于分析恶意软件行为往往是在执行恶意代码之后,所以该程序不能用作防御机制,并且需要一个隔离的受控环境来监视其行为。...此外,SNDBOX还可以与各种第三方平台相互集成,能够参考其他来源的样本、调查信息,通过行为模式、向量、属性、标签等多个载体对恶意软件信息进行汇总。...SNDBOX数据库的搜索功能 每个记录在案的恶意软件样本都会上传SNDBOX平台,相关结果都可通过搜索结果公开访问。...除此之外,用户可以免费查看和下载任意已提交的恶意软件样本的PCAP文件(捕获的网络流量)以及样本本身的完整报告。所有用户都可以通过平台沟通交流,分享见解、资源、IOC等等。 ?
与“分析一个用于传播Hancitor恶意软件的Word文档(第一部分)”【https://www.freebuf.com/articles/system/181023.html】一文中描述的现象很相似。...经过对宏文档和PE负载的分析,发现本次样本包含的宏代码与Hancitor文档宏代码有较大的变化,但是通过对内含主要PE负载文件的分析,发现二者基本一致,比如IDA反汇编后形式、代码加密执行、网络通信协议...因此,可基本判定本次恶意邮件攻击属于Hancitor恶意邮件攻击行动。...二、恶意宏分析 打开后,发现宏包含了两个窗体对象UserForm1和UserForm2,并且包含的内容都是“4d5a9000”开头的字符串,很明显这是两个PE文件。 ?...三、结语 与以往宏病毒样本相比,本次恶意宏文档具备如下的几个特点: 1、没有网络下载动作。文档内直接包含恶意负载部分,没有利用类似powershell脚本下载恶意文件。 2、没有直接进程执行动作。
0x01 前言 做为一名安全工作者在日常工作中难免会用到这些恶意软件检测平台,例如:渗透测试中给木马做免杀处理后检查其免杀效果,又或者在捕获到某恶意病毒/木马样本时进行简单的检测、分析等。 ?...当然,使用这些平台较多的主要还是普通网民和像我这样的ScriptKid,对于真正的样本分析大佬来说也只是用于辅助,大多数还是会经过人工分析,因为只有这样才能更加了解恶意软件样本的行为。 ?...0x02 恶意软件检测分析平台 VirSCAN: https://www.virscan.org VirusTotal: https://www.virustotal.com ANY.RUN: https.../any.run NoDistribute: http://nodistribute.com Hybrid Analysis: https://www.hybrid-analysis.com 魔盾安全分析...: https://www.maldun.com 微步在线云沙箱: https://s.threatbook.cn 腾讯哈勃分析系统: https://habo.qq.com 奇安信威胁情报中心: https
六、魔盾安全分析:https://www.maldun.com 魔盾安全分析 (MALDUN.COM) 提供了一个免费的基于虚拟执行的恶意软件及网页链接分析平台。...七、微步在线云沙箱:https://s.threatbook.cn ThreatBook Cloud Sandbox恶意软件分析平台,与传统的反恶意软件检测不同,微步云沙箱提供完整的多维检测服务,通过模拟文件执行环境来分析和收集文件的静态和动态行为数据...八、腾讯哈勃分析系统:https://habo.qq.com 哈勃分析系统,是腾讯反病毒实验室自主研发的安全辅助平台。...用户可以通过简单的操作,上传样本并得知样本的基本信息、可能产生的行为、安全等级等等信息,从而更便捷地识别恶意文件。...大圣云沙箱是一款基于云端架构的高级威胁检测和恶意软件免费分析服务,通过引入沙箱技术对最新高级恶意软件进行虚拟执行、行为捕获等全面深入的分析检测。
在恶意软件领域中,能够针对多个操作系统发起攻击的跨平台恶意软件是很多的。2020 年 9 月发现的 Vermilion Strike 就是最新的示例。...2021 年 12 月,网络安全公司 Intezer 发现了一个能够对 Windows、Mac 和 Linux 发起攻击的跨平台后门 SysJoker,其 Linux 版本和 Mac 版本的恶意软件在...在分析过程中,其 C&C 地址更改了 3 次,这表明攻击者仍然处于活动状态并且在监视受感染的机器。根据受害者和恶意软件的特定行为,SysJoker 应该是针对特定目标的恶意软件。...SysJoker SysJoker 使用 C++ 编写,每个样本都是针对特定操作系统量身定制的。在 VirusTotal 中 macOS 和 Linux 样本都是零检出。...△ VirusTotal 检测结果 行为分析 在不同的操作系统上,SysJoker 的行为都是相似的。本文以针对 Windows 系统的恶意样本为例,进行相关分析。
,安全公司扫描引擎的主要作用就是样本的分类,但是不管是任何一家公司开发的引擎都会存在误报、漏报的问题,这样就需要一批人从事样本的快速鉴定与筛选工作,这类工作就是批量点样本,快速鉴定样本,每天一个样本鉴定人员可能需要人工处理上百个样本...上面的工作需要有一些快速鉴定样本的能力,说实在话,如果一直从事这样的工作,真的会很枯燥无味,像流水线上的机器人一样,每天重复做着差不多的劳动,也不需要知道太多的恶意样本分析知识,只需要知道一些简单的知识即可处理...,然后再深入的研究学习病毒知识,真正的成为一个恶意样本分析员,而不是简单的样本鉴定人员,其实任何一个行业都是如此,先简后难,真正要成为一个行业某个领域的专家,绝不是一两天的事情,需要持续不断的学习和研究...由于现在安全大环境,黑产团队会通过各种不同的恶意样本攻击各种不同平台的,但是现在做企业安全,目前来说主要是以Window/Linux平台为主,云安全服务器主机也主要以Windows/Linux为主,MAC...恶意样本分析是一项非常复杂的工作,需要学习的东西很多很多,涉及到的知识面也很广,后面可能还会遇到各种不同平台的文件需要分析,做恶意样本分析工作真的需要不断的学习,同时还需要跟各种恶意样本分析专家进行交流
比如以Kaspersky厂商的命名方式为例,其提供了一个具体的标签列表: 四.Usenix Sec20恶意软件标注工作 下面给出Usenix Sec20恶意软件标注工作的核心思想,主要以恶意软件在线分析平台...具体地址如下: Measuring and Modeling the Label Dynamics of Online Anti-Malware Engines 测量和建模恶意软件在线分析平台的标签动态...VirusTotal 是目前最大的在线恶意软件扫描平台,应用了 70 多种反恶意软件引擎,并且能提供详细的分析报告和丰富的数据源,在安全界被研究者们广泛应用于恶意软件注释和系统评估。...(3)开展Ground-Truth数据集的验证分析 最终结论:针对VirusTotal恶意软件在线分析平台当前存在的问题,本文基于数据驱动的模型,指出采信结果时应去除频繁反转的部分,探索选取合适的阈值应用于标签动态整合最终测试结果...5666 [4] https://www.usenix.org/system/files/sec20-zhu.pdf [5] 深入了解 VirusTotal 的数据与文件聚类 [6] 【论文学习】测量和建模恶意软件在线分析平台的标签动态
二.利用火绒批量标注恶意软件 假设存在如下所示的恶意软件,包括PE样本、Powershell样本和XLM样本,MD5仅给出部分。我们需要利用火绒软件识别恶意家族。...比如以Kaspersky厂商的命名方式为例,其提供了一个具体的标签列表: 四.Usenix Sec20恶意软件标注工作 下面给出Usenix Sec20恶意软件标注工作的核心思想,主要以恶意软件在线分析平台...具体地址如下: Measuring and Modeling the Label Dynamics of Online Anti-Malware Engines 测量和建模恶意软件在线分析平台的标签动态...VirusTotal 是目前最大的在线恶意软件扫描平台,应用了 70 多种反恶意软件引擎,并且能提供详细的分析报告和丰富的数据源,在安全界被研究者们广泛应用于恶意软件注释和系统评估。...(3)开展Ground-Truth数据集的验证分析 最终结论:针对VirusTotal恶意软件在线分析平台当前存在的问题,本文基于数据驱动的模型,指出采信结果时应去除频繁反转的部分,探索选取合适的阈值应用于标签动态整合最终测试结果
00 导语 构建恶意域名检测引擎,对海量域名进行自动化检测并识别出恶意域名,让威胁情报的检测和运营变得更智能、更高效,以缓解威胁情报分析师分面对海量威胁数据的分析压力。...黑灰域名标注数据来源于安全分析专家对可疑域名数据的人工鉴定。...通过对安全事件、威胁访问等数据进行规则挖掘,得到了大量潜在恶意的域名,安全专家通过对这些恶意域名进行溯源、分析,来判定这些域名是否为恶意域名,在MDDE-core的建模过程中,选取了这些人工鉴定的恶意域名作为黑...受益于腾讯海量安全数据的积累,恶意域名的溯源和分析有了充足的背景知识和数据集成平台,这为MDDE-core的构建提供了两个维度的准备,一是丰富的样本特征,如DNS、URL等数据,让威胁鉴定有了充足的上下文...04 实时域名向量化 在第3节中,建模用的域名会在数据平台上获取相关特征的原始数据,然后传输到关系数据库,再通过开发机进行试验编码,但在实际的安全分析和运维中,需要对当时遇到的域名进行实时的评估分析,
据悉,Malware Next-Gen 可用于检查恶意软件样本中是否存在可疑项目。...它最初设计的目的是允许美国联邦、州、地方、部落和地区政府机构提交可疑文件,并通过静态和动态分析工具接收自动恶意软件分析。...Malware Next-Gen 通过在一个可扩展的平台上提供先进可靠的分析,处理不断增长的网络威胁分析工作量,该平台具有多级遏制功能,可自动分析潜在的恶意文件或URL。...想要匿名上传的用户可以选择通过该门户网站为未注册用户提交恶意软件样本,但网站不会反馈最终分析结果。...匿名样本提交(图源:BleepingComputer) 不过一般来说,只有 CISA 分析师和其他经过审核的人员才能访问系统生成的恶意软件分析报告。
Saferwall Saferwall是一款开源的恶意软件分析平台,该工具旨在给安全社区提供以下内容: 为恶意软件研究人员提供共享样本的协作平台。 帮助研究人员自动化生成恶意软件分析报告。...寻找新的恶意软件的搜索平台。 放行前对恶意软件质量和有效性提供保证。 ? 功能介绍 静态分析 加密哈希,封装器识别; 字符串提取; 可执行文件分析器 支持主流反病毒厂商的AV扫描工具: ?...目前,AWS是Saferwall官方支持的平台。...后端将样本上传到对象存储。 后端将消息推入扫描队列。 用户获取文件并将其复制到nfs共享,避免在每个容器上提取样本。 通过gRPC调用异步扫描服务(如反病毒扫描器)并等待结果。
版面分析是将文档图像进行文档对象识别并判断各区域所属类别,如配图、表格、公式、分栏等,并对不同类型的区域进行切分、识别。后面的工作是实现包括组卷、以题搜题、文档电子化存储、结构化解析等功能。...版面分析的背景介绍:目标:图像版面分析任务拆解:PDF转Word:本实战采用CDLA数据集(A Chinese document layout analysis (CDLA) dataset 进行YOLOv8...在Aidlux平台上上传代码包后,分别进行相关配置后,进行PDF转图片->版面检测->文本检测和识别等流程,输出Word。
二、安天追影对样本的分析 在对利用CVE-2017-0199漏洞的一些样本及变形的分析中得出了该类样本的一些惯用攻击手法。...2)安天追影具备连接外网的条件,且攻击者的远程命令与控制服务器仍正常工作 这种情况下,安天追影的动态分析环境能够访问真实的互联网,样本在运行中能够成功地访问到存放恶意文件的C2服务器,下载C2服务器上的恶意文件并执行...安天追影可通过动态还原恶意样本的执行过程,利用hook和注入技术监测样本各执行阶段的操作,采集实时运行数据,根据自定义规则进行行为判定,深度输出样本行为。 ?...2、单独部署 安天追影单独部署到用户内部网络中,对投放至安天追影中的文件进行深度鉴定,并输出鉴定结果。鉴定结果可用于未知样本分析研究、已知病毒样本分析研判等。 ?...4)与OA系统联动:对文件进行鉴定分析,根据鉴定结果标识文件,方便文件管理。 5)文件存储服务器:对服务器上的文件进行鉴定分析,根据鉴定结果对文件进行管理。 ?
享受过程,一起奋斗~ 前文详细介绍2022 DataCon大数据安全分析中恶意样本IOC自动化提取和攻击者画像分析内容。...PE文件是可移植、可执行、跨Win32平台的文件格式 所有Win32执行体(exe、dll、kernel mode drivers) 知道PE文件本质后,能更好进行恶意样本分析、APT攻击分析、勒索病毒分析...但这里存在一个问题,当有很多恶意样本的时候,我们基于多个样本时间戳并结合正常作息时间进行分析,才能判断其来源。...因为作者习惯晚上写代码,但如果是软件或恶意样本,大公司通常会有正常的作息,从而可以结合海量数据分析来确定最终的软件来源地区或国家。...IP定位,尝试进行流量抓取分析 利用深度学习进行分类,然后提取不同国家的特征完成溯源 本文尝试的是最简单的方法,所以也存在很多问题,比如当有很多恶意样本的时候,我们才能基于多个样本时间戳并结合正常作息时间进行分析
我需要强调的是:这款恶意间谍软件可以在未越狱的iphone上运行。 强大的间谍软件XAgent 趋势科技的安全专家在调查一起网络间谍活动时,发现了这款特别的iOS设备间谍程序。...LSRequiresIPhoneOS 我们可以判断: 1、恶意软件作者使用iMac (21.5-inch, Mid 2014)进行编译的(BuildMachineOSBuild...,可在http://support.apple.com/en-us/HT1159中查询到) 2、恶意软件作者使用XCode 5.11码的代码(DTXcodeBuild) 3、恶意软件的目标仅仅是iphone...接下来我们看看这间谍软件都做了些什么事 获取设备信息 开始记录 获取音频文件 获取联系人 获取当前位置 获取应用程序列表 控制WIFI状态 从照片库中获取照片 列出指定目录 获得指定文件 获取进程列表 获取短信 恶意代码还有一些比较有趣的地方
领取专属 10元无门槛券
手把手带您无忧上云