声明:本人坚决反对利用文章内容进行恶意攻击行为,一切错误行为必将受到惩罚,绿色网络需要靠我们共同维护,推荐大家在了解技术原理的前提下,更好的维护个人信息安全、企业安全、国家安全。...0x01 前言 做为一名网络安全爱好者在日常工作中难免会用到一些恶意软件检测平台,用来分析一些木马样本,例如:钓鱼邮件的恶意样本分析,分析网上下载的工具是否存在木马后门,自己编写了免杀工具查看其免杀效果等...接下来,小编通过网上搜集了一些恶意软件检测的在线平台,总结如下: 0x02 恶意软件检测分析平台 VirSCAN: https://www.virscan.org VirusTotal: https:/...: https://www.maldun.com 微步在线云沙箱: https://s.threatbook.cn 腾讯哈勃分析系统: https://habo.qq.com 奇安信威胁情报中心: https...://ti.qianxin.com 大圣云沙箱检测系统: https://mac-cloud.riskivy.co
我们需要知道这个恶意代码到底做了什么,如何进行有效检测,才能进一步消除它带来的影响。 本文主要通过几个简单的步骤,分享恶意样本分析的基本方法。...---- 1、多引擎在线病毒扫描 找到了一个恶意样本程序,通过多病毒引擎进行安全扫描,可以帮助你判断文件是否为恶意程序。 VirSCAN:免费多引擎在线病毒扫描1.02版,支持47个杀毒引擎。...2、文件哈希值 文件哈希值是恶意代码的指纹,通过它用来确认文件是否被篡改,也可以通过HASH值查找恶意样本,一般我们也可以使用多种哈希验证文件的唯一性。 ?...可通过获取关键信息,来猜测恶意代码的功能。 ? 6、云沙箱分析 将恶意样本上传到微步云沙箱,通过威胁情报、静态和动态行为分析,以发现恶意程序存在的异常。...微步云沙箱: https://s.threatbook.cn/ ? 7、动态行为分析 通过火绒剑对文件行为、注册表行为、进程行为、网络行为进行分析,捕获恶意样本特征。 ?
Cuckoo Cuckoo(布谷鸟)沙箱是一个开源且免费的自动化的恶意样本分析系统。...,概述该文件在沙箱中执行时的行为,支持分析Windows, macOS, Linux, 和 Android下的恶意文件....当提交样本到cuckoo host后,cuckoo host会调度一个空闲的analysis guest节点,同时将样本传递给所选择的沙箱节点进行自动化分析,分析结束之后将沙箱节点采集到的分析数据进行汇总...等待状态变为reported说明已经分析完成,点击任务可查看分析报告 总结 总体来说cuckoo还是一款比较完善且专业的开源沙箱分析系统, 对于研究分析恶意软件和应急响应人员来说都是一个很不错的选择...稍有差错会导致运行失败 英文界面, 需要使用者具有一定的英语基础 内存分析时间太长, 基本都在半小时左右 更新迭代慢(最新版本为2019年发布) 默认的规则, 样本库对恶意软件的支持较少 对于新的恶意软件需要使用者自己编写
家族溯源: 家族变体是已有恶意代码在不断的对抗或功能进化中生成的新型恶意代码,针对变体的家族溯源是通过提取其特征数据及代码片段,分析它们与已知样本的同源关系,进而推测可疑恶意样本的家族。...3.相似性计算 溯源旨在通过分析样本的同源性定位到家族或作者,样本的同源性可以通过分析代码相似性来获取。相似性计算旨在衡量恶意代码间相似度,具体为采用一种相似性模型对恶意代码的特征进行运算。...追踪溯源方法 恶意样本的追踪溯源需要以当前的恶意样本为中心,通过对静态特征和动态行为的分析,解决如下问题: 谁发动的攻击? 攻击背景是什么? 攻击的意图是什么? 谁编写的样本?...5.同源分析 该方法主要为在获取到恶意样本后,很难第一时间关联到攻击者或者恶意样本提供者的信息,但是可以通过和历史恶意代码进行相似度分析,获得历史攻击事件,从而关联到相应的组织或团体。...] 三十一.恶意代码检测(1)恶意代码攻击溯源及恶意样本分析 参考文献: [1]姜建国,王继志,孔斌,等.
七、微步在线云沙箱:https://s.threatbook.cn ThreatBook Cloud Sandbox恶意软件分析平台,与传统的反恶意软件检测不同,微步云沙箱提供完整的多维检测服务,通过模拟文件执行环境来分析和收集文件的静态和动态行为数据...八、腾讯哈勃分析系统:https://habo.qq.com 哈勃分析系统,是腾讯反病毒实验室自主研发的安全辅助平台。...用户可以通过简单的操作,上传样本并得知样本的基本信息、可能产生的行为、安全等级等等信息,从而更便捷地识别恶意文件。...九、奇安信威胁情报中心:https://ti.qianxin.com 威胁情报信息共享,事件预警通报,攻击事件分析报告,恶意软件分析报告 十、大圣云沙箱检测系统:https://mac-cloud.riskivy.com...大圣云沙箱是一款基于云端架构的高级威胁检测和恶意软件免费分析服务,通过引入沙箱技术对最新高级恶意软件进行虚拟执行、行为捕获等全面深入的分析检测。
熊猫烧香行为分析 查壳 因为程序肯定是病毒,我就不上传杀毒网去查杀了。正常我们在分析一个未知恶意程序的时候,流程都是要先上传杀毒网看看。...导出表中分析出URLDownload函数,此函数多为下载者恶意程序。 弱口令内网135端口爆破 感染U盘 下载者功能 135弱口令爆破密码。 U盘感染字符串关键字。 恶意下载者函数。...行为分析 进程树监控 这里我们还是用Process Monitor来监控病毒行为,打开Process Monitor,在筛选条件中将“样本.exe”加入到筛选器的“Process Name”中,然后运行病毒...main入口函数 用“倚天剑”IDA Pro载入样本后可以看到如下图: 图1是样本的main函数入口最开始的汇编代码,我们不从第一行汇编代码开始看,因为大部分内容都是Delphi自动生成的,我们只找关键位置来看...,就有分析出样本.exe会把自身拷贝到这个目录,达到伪装隐蔽的效果。
0x01 概述 恶意软件HawkEye的利用大多都是通过钓鱼邮件分发,利用office直接启动HawkEye主体或者一些经过加密的程序,本文中的VB Inject属于后者,也把重心放在了调试这个VB程序上...VirusTotal上的该样本信息: ? 病毒名大多为VBKrypt或者VBInject。 0x02 行为监控 ?...用wireshark抓网络行为,发现该样本会访问http://whatismyipaddress.com/,并与yandex邮件服务器建立连接。 ?...0x05 样本主体 在之前的行为监控中,注意到,样本在C:\User\user\AppData\Romaing\目录下生成了三个文件 pid.txt,pidloc.txt,WindowsUpdate.exe...反编译成功后,发现该程序是恶意软件HawkEye,用于凭据窃取,包括电子邮件Web浏览器,Bitcoin钱包,反病毒检查,键盘记录等。
关于Norimaci Norimaci是一款针对macOS的轻量级恶意软件分析沙箱,Norimaci使用了OpenBSM和Monitor.app的功能来监控macOS操作系统的活动(没有使用Sysinternals...在该工具的帮助下,广大研究人员可以轻松监控macOS下的恶意软件活动情况。...我们需要构建一个macOS虚拟机来执行恶意软件样本。...广大研究人员可以使用下列命令将该项目源码克隆至本地: git clone https://github.com/mnrkbys/norimaci.git 工具使用 结合OpenBSM使用 1、使用sudo运行norimaci.py; 2、运行恶意软件样本...1、使用sudo运行norimaci.py; 2、Norimaci启动Monitor.py后输入密码,因为Monitor.app需要密码来安装它的kext文件; 3、运行一个恶意软件样本; 4、等待一段时间
背景 对于威胁情报的分析很大部分都是需要基于恶意样本为载体进行展开分析的,白帽研究员、二进制分析以及逆向研究员在学习和研究过程中,也需要各种类型的恶意样本进行研究分析。...3、https://tria.ge/reports/public 该平台的恶意样本量还有恶意样本的种类还是比较丰富的,同时也有对应的恶意样本的分析报告,可以结合需要进行获取恶意样本。...国内恶意样本源 1、微步在线云沙箱: https://s.threatbook.com/ 这个微步云沙箱平台的恶意样本也是各种类型都有并且样本量也很多,对恶意样本分析也很详细的。...2、奇安信威胁情报中心: https://ti.qianxin.com/ 这个平台的恶意样本和威胁情报分析还是很不错,对于威胁情报分析奇安信还是很专业的,可以结合前面平台进行分析和恶意样本获取。...3、腾讯哈勃分析系统: https://habo.qq.com 这个平台也是个很成熟的恶意样本自动化分析平台,同时上传样本的量也还可以。
0x01 前言 做为一名安全工作者在日常工作中难免会用到这些恶意软件检测平台,例如:渗透测试中给木马做免杀处理后检查其免杀效果,又或者在捕获到某恶意病毒/木马样本时进行简单的检测、分析等。 ?...当然,使用这些平台较多的主要还是普通网民和像我这样的ScriptKid,对于真正的样本分析大佬来说也只是用于辅助,大多数还是会经过人工分析,因为只有这样才能更加了解恶意软件样本的行为。 ?...0x02 恶意软件检测分析平台 VirSCAN: https://www.virscan.org VirusTotal: https://www.virustotal.com ANY.RUN: https...: https://www.maldun.com 微步在线云沙箱: https://s.threatbook.cn 腾讯哈勃分析系统: https://habo.qq.com 奇安信威胁情报中心: https...://ti.qianxin.com 大圣云沙箱检测系统: https://mac-cloud.riskivy.com
与“分析一个用于传播Hancitor恶意软件的Word文档(第一部分)”【https://www.freebuf.com/articles/system/181023.html】一文中描述的现象很相似。...经过对宏文档和PE负载的分析,发现本次样本包含的宏代码与Hancitor文档宏代码有较大的变化,但是通过对内含主要PE负载文件的分析,发现二者基本一致,比如IDA反汇编后形式、代码加密执行、网络通信协议...因此,可基本判定本次恶意邮件攻击属于Hancitor恶意邮件攻击行动。...二、恶意宏分析 打开后,发现宏包含了两个窗体对象UserForm1和UserForm2,并且包含的内容都是“4d5a9000”开头的字符串,很明显这是两个PE文件。 ?...三、结语 与以往宏病毒样本相比,本次恶意宏文档具备如下的几个特点: 1、没有网络下载动作。文档内直接包含恶意负载部分,没有利用类似powershell脚本下载恶意文件。 2、没有直接进程执行动作。
沙箱云监测恶意软件家族 我们通过沙箱云等监测系统,持续关注互联网中的恶意软件的活跃动态。下图是我们通过沙箱云在一段时间内监测到的恶意软件样本的数量和各恶意软件家族占比的情况。...数据来源是用户在沙箱云提交监测的样本,还有我们内部通过样本运营流程检测的数据,大致反映了目前我们已知特征的恶意软件家族的活跃情况。...沙箱云监测漏洞利用样本 除了恶意软件家族之外,我们通过沙箱云还在持续监测互联网中的 N-day 漏洞利用的活跃情况。这些 N-day 漏洞覆盖了操作系统和流行应用软件。...面临使用新型利用、绕过和攻防技术的恶意程序层出不穷的严峻现状,沙箱云借助机器学习技术,应对各种新型恶意程序和攻击,实现针对新型攻击的检测发现。...我的博客即将同步至腾讯云开发者社区,邀请大家一同入驻:https://cloud.tencent.com/developer/support-plan?
恶意样本溯源分析的前提是针对样本,然后进行对样本做逆向分析、网络行为分析、日志行为分析。挖掘出恶意样本的攻击者或者团队的意图。 网络攻击追踪溯源旨在利用各种手段追踪网络攻击的发起者。...恶意样本溯源思路 对恶意样本溯源分析一般需要结合动态调试和静态调试分析,样本分析过程中还需要结合网络抓包数据分析,获取到攻击者的域名信息。...在对恶意样本分析过程中通常需要关注:恶意样本中是谁发动攻击、攻击的 目的是什么、恶意样本的作者是谁、采用了哪些攻击技术、攻击的实现流程是怎样的。...作者溯源:恶意样本的作者溯源就是通过分析和提取恶意样本中的相关特征,定位出恶意样本作者相关特征,揭示出样本间的同源关系,进而溯源到已知的作者或组织。...在分析恶意样本的时候可以参考借鉴下面的几个在线沙箱 微步云沙箱:https://s.threatbook.cn/ 奇安信云沙箱: https://sandbox.ti.qianxin.com/sandbox
今天使用腾讯云分析按照给出的文档开始集成,遇到了一个问题。...ThreadPoolExecutor.java:569) E/AndroidRuntime( 4606): at java.lang.Thread.run(Thread.java:864) 原因 其实原因就是腾讯云分析的文档严重过时了...但是腾讯的文档只介绍说集成mta-sdk-x.x.x.jar,我想可能那是大概0.x版本SDK的教程吧。 吐个槽吧 霸王条款 据说想要知道应用宝的下载数据(下载次数)必须集成腾讯云分析。
这篇文章将讲解如何利用MS Defender实现恶意样本家族批量标注,在通过VS、VT采集批量样本后,通常需要样本家族标注,如何准确识别家族类别至关重要,其将为后续的恶意软件家族分类或溯源提供帮助。...代表性恶意软件如下表所示: 恶意代码溯源是指通过分析恶意代码生成、传播的规律以及恶意代码之间衍生的关联性,基于目标恶意代码的特性实现对恶意代码源头的追踪。...二.利用MS Defender批量标注恶意软件 假设存在如下所示的恶意软件,包括PE样本、Powershell样本和XLM样本,MD5仅给出部分。...1.构建恶意软件样本白名单 通常,我们会遇到的第一个问题是:这些病毒样本会被杀毒软件查杀,如何解决呢?...VirusTotal 是目前最大的在线恶意软件扫描平台,应用了 70 多种反恶意软件引擎,并且能提供详细的分析报告和丰富的数据源,在安全界被研究者们广泛应用于恶意软件注释和系统评估。
在产品层面,高灯科技则与腾讯云联合发布了腾讯云财税管家,意在成为数字化合规新引擎。...(从左至右:腾讯云副总裁陈平;高灯科技董事长兼CEO高峡;腾讯公司副总裁、腾讯云与智慧产业事业群COO兼腾讯云总裁邱跃鹏;高灯科技联合创始人、总裁张民遐) 数字化时代的“合规”到底要怎么做?...或许我们可以从腾讯云财税管家这一产品“以小见大”。 腾讯云财税管家是什么?...据腾讯云AI应用产品中心总经理王磊介绍,腾讯云决定做“腾讯云财税管家”的初心,是想要联合打造依托腾讯云的SaaS标杆。...现在云服务商都在“智能化”,从“百度智能云”、“阿里云智能”等名称可以感知到这一趋势,腾讯则一直相对低调务实,虽然没有改名,但却一直在扎实地推动云与AI的结合,腾讯云同样认为:“AI就是腾讯云里面应该做的
腾讯云年终特惠,2核2G特惠价:https://url.cn/OcFptlrj 那么这个就是大概的一个价格,所以超出的部分它会额外的计算费用,只要你超出的不是特别多,其实也没有太大的关系。
代表性恶意软件如下表所示: 恶意代码溯源是指通过分析恶意代码生成、传播的规律以及恶意代码之间衍生的关联性,基于目标恶意代码的特性实现对恶意代码源头的追踪。...因此,如何有效检测恶意软件,溯源恶意软件至关重要。那么,当我们从VS、VT、微步在线等网站采集海量样本,如何对恶意软件的家族进行标注呢?这就是本文需要研究的问题。...二.利用火绒批量标注恶意软件 假设存在如下所示的恶意软件,包括PE样本、Powershell样本和XLM样本,MD5仅给出部分。我们需要利用火绒软件识别恶意家族。...1.恶意软件家族标注 接下来我们利用火绒进行病毒扫描,然后扫描如果是恶意软件会为每个样本生成一个结果描述,通过这些结果描述即可对恶意软件家族进行标注。整个原理是利用火绒病毒库进行关键特征匹配实现。...VirusTotal 是目前最大的在线恶意软件扫描平台,应用了 70 多种反恶意软件引擎,并且能提供详细的分析报告和丰富的数据源,在安全界被研究者们广泛应用于恶意软件注释和系统评估。
5月23日,“腾讯云+未来”峰会在广州再次召开,腾讯联合三大运营商成立的数字广东公司也亮相此次峰会,并举办了“云上科技共建数字广东”的启动仪式, 为什么广东省能走在“数字中国”前面?...“用电量--经济”、“用云量--数字经济”这种逻辑是有实际数据做支撑的,据腾讯研究院与腾讯云联手调研测算,将全国388个城市的用云量结合《中国互联网+指数报告(2018)》测算的各个城市数字经济规模进行相关性分析...对接腾讯、华为等互联网前沿企业,数字广东能成为政企合作的标杆吗? 1、硬实力:开放的广东与技术领先的腾讯 政和企都要有足够的能力支撑其数字化变革,硬实力是前提。...而腾讯的业界地位也是不容小觑,此次腾讯云+峰会召开,还为城市装上会思考分析、能判断决策的城市超级大脑,为破解广东省数字化转型瓶颈与难题提供了系统的解决方案。...用马化腾的话说,腾讯要做的就是“数字化助手”,有大量的消费者的连接终端。
前期准备完成,便可以着手进行样本分析了。 样本可从app.any.run获取,使用邮箱免费注册后,便可以下载该沙箱的公开样本 小c随便在该沙箱选择了一个样本,下载,准备开搞 ?...---- 动态行为 ---- 在样本分析的过程中,首先通过虚拟机,沙箱等运行样本,看样本执行什么样的行为,再根据其行为去分析样本中代码,这样的方式有助于加快分析速度。...将释放的dllcheck.exe设置为计划任务,实现持久性 02 外部沙箱 这次选用微步在线沙箱(https://s.threatbook.cn/)运行样本试一下(在以后正式的工作中,最好别将公司安排分析的样本传到外部沙箱...通过微步云沙箱,可以直观的看到样本执行流程 ? 再看看沙箱中详细的进程列表 ? 其进程行为与本地虚拟机基本一致,但其比本地虚拟机多了网络行为 ?...,在实际静态分析恶意代码之前,可先通过查阅同家族样本相关报告,先熟悉该家族木马,再进行详细分析。
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
对象存储
实时音视频
云直播
