- 综合排序
- 最热优先
- 最新优先
- 来自专栏进步集
恶意软件分析
⭐️前言 恶意软件,改你的注册表,搞你的启动项。 让他的软件自动运行,我们如何避免? 我们要用process monitor分析一下! 跟上爆哥的节奏! 看看这个间谍软件做了什么 真的可怕。他会改你的注册表,把自己加到启动菜单 !!!!!!!!!! ☀️分析汇编 看右边,依次调用了 这一条就是复制文件到启动项的罪魁祸首!!! ⭐️总结 静态分析拿来总揽全局,看看大概流程 动态分析,根据静态分析的字段来找,然后细看局部! 当然,我们可以先用winhex这样的二进制工具看一下整体! 再用od看一下需要特别关注的地方! 其次了,windbg也很棒,用来看内核程序,分析rootkit这样的内核恶意程序离不开他!
98630编辑于 2023-04-12 - 来自专栏FreeBuf
Aveo恶意软件分析
Aveo 恶意软件家族与 ForrmerFirstRAT 恶意软件家族有密切的联系,二者都针对日语用户。Aveo 会伪装成 Microsoft Excel 文档,并在执行时抛出诱饵文件。 infocoinpack[.]info7b7p[.]infodonkeyhaws[.]infoeuropcubit[.]comjhmiyh.ny@gmail[.]com844148030@qq[.]com 恶意软件分析 Aveo 恶意软件家族 Aveo 恶意软件会在开始运行一个安装程序,该程序会复制自身到以下位置:%APPDATA%\MMC\MMC.exe如果因为某种原因,%APPDATA%\MMC 目录不能被创建,Aveo 恶意软件自身复制完成后,将会在新的进程中以原文件名为参数执行 MMC.exe。当执行时,如果提供了这单个参数,恶意软件将会删除掉制定路径内的文件。 正如前面讨论的 FormerFirstRAT 样本,这个恶意软件家族看起来也是针对日语用户。使用自解压文件的 WinRAR 释放诱饵文档和 Aveo 的恶意软件副本以及清理脚本。
1.2K60发布于 2018-02-09 - 来自专栏betasec
恶意样本 | 常用恶意软件分析平台
声明:本人坚决反对利用文章内容进行恶意攻击行为,一切错误行为必将受到惩罚,绿色网络需要靠我们共同维护,推荐大家在了解技术原理的前提下,更好的维护个人信息安全、企业安全、国家安全。 0x01 前言 做为一名网络安全爱好者在日常工作中难免会用到一些恶意软件检测平台,用来分析一些木马样本,例如:钓鱼邮件的恶意样本分析,分析网上下载的工具是否存在木马后门,自己编写了免杀工具查看其免杀效果等 接下来,小编通过网上搜集了一些恶意软件检测的在线平台,总结如下: 0x02 恶意软件检测分析平台 VirSCAN: https://www.virscan.org VirusTotal: https:/ /any.run NoDistribute: http://nodistribute.com Hybrid Analysis: https://www.hybrid-analysis.com 魔盾安全分析 : https://www.maldun.com 微步在线云沙箱: https://s.threatbook.cn 腾讯哈勃分析系统: https://habo.qq.com 奇安信威胁情报中心: https
3.2K30编辑于 2022-12-11 - 来自专栏信安之路
macOS 恶意软件分析过程
植入 shell、恶意软件、留持久化的后门。 在诸多远控木马中,针对 macOS 的 RAT 还是比较少见,今天看到了卡巴斯基实验室的一篇关于 Calisto 恶意软件(远程访问木马 RAT)分析的研究性文章,学习了下分析思路并将其进行了翻译,作者英语水平及理解能力有限 ,如有不适之处,请斧正:) ---- 来自卡巴斯基实验室的恶意软件研究人员发现了一种名为 Calisto 的恶意软件,它似乎是 Proton macOS 恶意软件的前身。 该恶意软件早在 2016 年就被上传到 VirusTotal,很可能是在创建它的同一年。 为了便于说明,我们将恶意软件文件与从官方网站下载的 Mac Internet Security X9 版本进行比较。 ? ? 它看起来相当有诱惑力。
2.2K00发布于 2018-08-08 - 来自专栏FreeBuf
Black Kingdom恶意软件分析
在2019年发现了针对Microsoft Exchange Server 漏洞的勒索软件Black Kingdom ,该恶意软件由python编码。 今年再次发现其恶意活动,该勒索软件利用 Microsoft Exchange 漏洞 (CVE-2021-27065)进行传播。 技术分析 传播方式 该勒索软件集团在目标上成功利用该漏洞后,会在受感染的系统中安装 webshell。 恶意软件会生成一个 64 个字符的伪随机字符串,然后获取字符串的 MD5 哈希值并将其用作 AES-256 加密的密钥。 如果没有任何参数传入,恶意软件将会枚举系统文件,然后多进程对文件进行加密。 ? Black Kingdom 还会枚举各种驱动器号并对其进行加密,并在每个加密目录留下勒索信息。 ?
73730发布于 2021-07-27 - 来自专栏FreeBuf
Glupteba恶意软件变种分析
最近发现了恶意软件glupteba的网络攻击行为。它是一个旧的恶意软件,曾在名为“windigo”的行动中出现过,并通过漏洞传播给windows用户。 在研究了近期发现的glupteba变体之后,我们发现glupteba恶意软件之外的两个未经记录的组件: 1、浏览器窃取程序,它可以从浏览器中窃取敏感数据,例如浏览历史记录、网站cookies、帐户名和密码 攻击者仍在改进他们的恶意软件,并试图将他们的代理网络扩展到物联网设备。 ? ? Glupteba下载分析 下载的二进制文件由一个自定义打包程序打包,用go编程语言编写,并编译为可执行文件。 C&C更新能力 后门有大部分标准功能,该恶意软件可以通过discoverdomain功能通过区块链更新其c&c服务器地址。 discoverdomain函数可以通过发送后门命令运行,也可以由自动运行。 安全建议 恶意软件是一种广泛存在的威胁,会影响用户和企业。从网关、端点、网络和服务器,多层的安全方法非常重要。
1.4K30发布于 2019-10-15 - 来自专栏FreeBuf
MacOS恶意软件Shlayer分析
近两年来,Shlayer木马一直是MacOS平台上最常见的恶意软件,十分之一的MacOS用户受到它的攻击,占该操作系统检测到攻击行为的30%。 技术细节 从技术角度来看,Shlaye是一个相当普通的恶意软件。在所有变体中,只有最新的木马下载程序OSX.Shlayer.e与众不同。此恶意软件的变体是用Python编写的,其算法也有不同。 首先,它在Safari中安装一个恶意扩展,将操作系统安全通知隐藏在恶意软件伪造窗口后。单击通知中的按钮,用户就会同意安装扩展。 ? 软件传播 恶意软件传播是其生命周期的重要组成部分,Shlayer为了解决这个问题制定了很多方案:在找你最喜欢的电视节目的最新一集吗?想看足球比赛的直播吗? 在大多数情况下广告登陆页面把用户带到精心制作的假页面,在Flash播放器更新提示下安装恶意软件。 ? 在YouTube视频描述中发现了指向恶意软件下载的链接: ? 文章脚注中的Shlayer: ?
1.1K10发布于 2020-03-18 - 来自专栏FreeBuf
新型Anatova恶意软件分析
根据我们的分析,Anatova背后的开发者技术水平非常高,因为我们捕捉到的每一个样本都拥有唯一的密钥和不同的功能,这在勒索软件领域中很少见。 Anatova概述 Anatova一般会使用游戏或者常见应用的图标来欺骗用户下载恶意软件,然后请求获取管理员权限: ? Anatova勒索软件是一款64位应用程序,编译日期为2019年1月1日。 3、 当我们在IDA Pro中查看代码并对功能函数进行分析时,IDA Pro一直报错,我们不确定这是IDA Pro的Bug还是恶意软件开发者有意而为之的。 ? 如果恶意软件无法获取kernel32模块处理库,而且也无法获取其他的功能函数,它将会退出执行。 如果出现这样的情况,恶意软件会清空内存,我们之后会详细介绍这部分。 ?
60320发布于 2019-05-09 - 来自专栏网络安全技术点滴分享
Hawkish Eyes恶意软件工具分析
系统概述 Hawkish Eyes 是一个多功能的恶意软件工具,主要用于窃取用户信息、监控用户行为,并通过 Discord Webhook 将窃取的数据发送到攻击者的服务器。 混淆与编译模块:使用多种加密算法对恶意代码进行混淆,并编译为可执行文件,以逃避安全软件的检测。 代码混淆与编译:使用多种加密算法对恶意代码进行混淆,并编译为可执行文件。 应用场景 恶意软件分发:攻击者可以通过该工具生成恶意软件,并通过钓鱼邮件、恶意网站等方式分发给受害者。 __name__, encoded) 总结 Hawkish Eyes 是一个功能强大的恶意软件工具,具备信息窃取、远程控制、加密货币诈骗等多种功能。 攻击者可以通过该工具生成恶意软件,并通过钓鱼邮件、恶意网站等方式分发给受害者,窃取受害者的敏感信息。
16810编辑于 2025-06-16 - 来自专栏潇湘信安
使用ProcDot进行恶意软件分析
恶意软件(有时称为恶意软件)是通过恶意软件分析过程进行检查和理解的。当黑客利用恶意软件未经授权访问计算机、窃取有价值的信息或损害计算机系统时,这种技术对于识别和减轻网络风险至关重要。 主要有两种类型的分析技术: 静态分析:检查尚未触发的恶意软件。这种方法允许我们识别库和硬编码字符串。某个恶意文件正在使用。 动态分析:通过执行来调查恶意软件。 流程的执行和任何伴随的活动(例如文件和网络流量)可以由分析师使用ProcDOT直观地绘制出来。该应用程序使用可视化方法显示这些数据,使分析人员更容易发现可疑活动并了解恶意软件的功能。 该图将提供恶意进程执行的所有进程、子进程、注册表编辑和其他更改的全面视图。 通过分析这份详细报告,您可以更好地了解恶意进程的运行方式及其造成的损害程度。 此外,通过分析恶意软件行为获得的见解可用于加强我们的整体安全态势,识别潜在的漏洞和需要改进的领域。 这项技术为我们提供了对抗网络威胁的强大工具,使我们能够领先攻击者一步并保护我们的关键资产。
69530编辑于 2023-10-24 - 来自专栏绿盟科技研究通讯
原创 | SBIDIOT IoT恶意软件分析
分享这些信息将有助于检测威胁,从而在威胁行为发生前及时阻止 SBIDIOT恶意软件分析 SBIDIOT恶意软件的传播依赖于IoT设备使用的过时固件中的漏洞。 ,其中DDoS的部分代码与Gafgyt等其他恶意软件家族是共享的。 考虑到样本是静态链接并且被剥离了符号表的,针对物联网的恶意软件几乎都是这样,下一步是为uClibc加载FLIRT签名,使分析更容易。 FLIRT签名本质上是一种逆向工程工具(如IDA)用来匹配已知库的方法,它可以极大地加快分析过程。分析中发现威胁特征非常常见,其中DDoS的部分代码与Gafgyt等其他恶意软件家族是共享的。 ? 其他常用的文件名: sh (位于根目录,不像其他示例一样位于SBIDIOT子目录中) sh4 sp root rtk zte yarn 连接到互联网的IoT设备数量正在急速增长,新的恶意软件家族以及现有恶意软件的变种会定期出现
1.1K40发布于 2021-05-11 - 来自专栏FreeBuf
恶意软件狩猎新途径:使用.NET元数据分析跟踪恶意软件
深入分析之后,我还专门为该样本编写了Yara检测规则,当时我便意识到,我是不是也可以写一些Yara规则来识别.NET开发的恶意软件或.NET程序集。 在这篇文章中,我将跟大家分享如何使用.NET元数据分析、跟踪和分类恶意软件的相关内容。 针对我们的分析目标,我选择了目前四个比较热门的恶意软件(基于.NET或拥有.NET变种版本)进行分析: RedLine Agent Tesla Quasar Pure*(与PureCrypter, PureLogs 上述四个恶意软件家族样本数据集中,总共有531个样本,再次运行可视化处理后,我们将进行下列操作: 1、针对整个样本集执行分析; 2、提取程序集名称; 3、仅列出排名前十的程序集名称; 4、使用柱状图代替饼状图 ,简而言之,就是通过可靠的方法提取两个唯一GUID(Typelib和MVID)来识别恶意软件。
38110编辑于 2024-04-25 - 来自专栏FreeBuf
安卓ELF恶意软件深度分析
android系统碎片化严重,提取漏洞不断累积导致病毒攻击方式多元化 , elf文件具有比dex程序更难分析的特点。 常规杀软没有root权限,难以查杀病毒。 2.ELF病毒纪元图 ? Android.Troj.at_Seed.a,会将自身的主要模块拷贝到系统目录/system/bin内,伪装成系统服务debuggerd(该服务可以侦测到程序崩溃,并将崩溃时的进程状态信息输出到文件和串口中,以供开发人员分析调试使用 Root助手: 深圳市网卓信息科技有限公司开发的一款ROOT软件,整合大量漏洞,提供一键ROOT功能,被病毒利用。 安全软件需要在已经获取ROOT权限的手机上申请ROOT权限,这就导致杀软获取ROOT权限的数量比ELF病毒获取ROOT权限的数量少很多,处于被动。
3.2K100发布于 2018-02-08 - 来自专栏网络安全技术点滴分享
theZoo - 恶意软件分析资源库
theZoo 是一个恶意软件分析资源库,收集了几乎所有版本的恶意软件包括(恶意软件源代码项目、二进制恶意软件程序)。需要分析病毒、恶意软件的朋友可以在项目中下载某个恶意软件来分析。 功能特性 恶意软件样本数据库系统 样本加密存储(密码:'infected') 支持多种查询方式: 按名称搜索 按类型过滤(病毒/木马/僵尸网络/间谍软件/勒索软件) 按编程语言过滤(C/C++/VB/ASM 命令行选项 -u, --update 更新数据库 -v, --version 显示版本信息 -w, --license 显示许可证信息 -f, --filter 过滤恶意软件 通过ID选择恶意软件 info 获取恶意软件信息 get 下载选定的恶意软件 report-mal 报告发现的恶意软件 update-db 更新数据库 help 样本列表,如下所示: 第一次启动需要接受EULA协议 二进制恶意软件列表: use命令选中其中一个病毒(恶意软件)样本进行下载、查看信息 use 1 //use命令后面跟样本索引号 感兴趣的朋友可以下载下来
54310编辑于 2025-06-16 - 来自专栏网络安全技术点滴分享
PeStudio:恶意软件静态分析全面指南
PeStudio概述:设置、教程和提示 PeStudio是一款用于静态分析恶意软件的工具,也是我最喜欢的恶意软件分析工具之一。 每当我开始分析一个恶意软件样本时,我总是首先将其加载到PeStudio中。它提供了关于样本的大量信息,为我开始构建报告提供了丰富的数据。这对于恶意软件样本的初始分类非常有用。 如下所示 指示器标签(Indicators Tab) PeStudio中的下一个标签是指示器标签,它突出了样本中可能恶意且对恶意软件分析师感兴趣的数据。 请务必留意,因为PeStudio的作者marc ochsenmeier经常提供工具更新,如下所示 结论 无论您是在学习分析恶意软件、分类恶意软件事件还是编写YARA规则,PeStudio都是一个很好的工具 每当我需要构建新的恶意软件分析实验室时,它是我安装的第一个工具,也是我开始查看恶意软件时总是使用的第一个工具。
24910编辑于 2025-11-13 - 来自专栏FreeBuf
I Am The King恶意软件家族分析
2020年10月1日,DHS CISA发布了SlothfulMedia恶意软件家族信息;2018年6月,研究人员基于未知家庭恶意软件样本中的字符串发,布了名为IAmTheKing家族的第一份报告。 本文主要对IAmTheKing恶意软件家族进行分析。 IAmTheKing KingOfHearts 这是一个C++后门,它具有EXE或DLL变体,该家族可追溯到2014年。 KingOfHearts基本功能: 任意命令执行 文件系统操作:列出驱动器和文件,删除,上传和下载数据等 列出正在运行的进程,并可终止其中任何一个 捕获屏幕截图 恶意软件开发人员没有开发复杂的功能,后门每秒通过向 QueenOfClubs 调查过程中发现另一种恶意软件与QueenOfHearts扮演着相同的角色。 JackOfHearts JackOfHearts是QueenOfHearts的植入程序:其作用是将恶意软件写入磁盘上的某个位置(例如:%AppData%\mediaplayer.exe),并创建指向该恶意软件的
2.3K60发布于 2020-11-06 - 来自专栏FreeBuf
恶意软件远程管理配置分析
研究分析不同的恶意软件配置,例如主机地理位置和DNS首选项可以深入的了解攻击者和组织的内部工作情况。研究过程中收集的大量恶意软件可以将不同样本的数据关联起来,并识别出新的攻击者与攻击活动。 ReversingLabs Titanium平台支持从40多个不同的RATs、后门、键盘记录器、下载程序、勒索软件和POS恶意软件中提取配置,每天收集和分析超过2000个样本,后续将简要介绍它们的配置。 通过静态分析引擎解压了文件,并对嵌入的文件执行隐写检测和提取可从恶意软件中检测和提取配置。在本次分析的样本中只有14%未被混淆,最常见的第一层检测规避是UPX打包程序。 密码、活动标识符的提取和收集可更好的检测恶意活动,并分析在同一攻击活动中多个不同恶意软件之间的关系。研究发现,攻击者经常在整个活动中重用相同的密码。 最后举一个在分析中发现的实例: 几个月来遇到许多使用密码“crocro35”的恶意样本,它们都是CyberGate或Xena远程管理工具。如密码所示,攻击源于克罗地亚,C2服务器已经关闭。
1.7K20发布于 2020-02-20 - 来自专栏网络安全技术点滴分享
Aether恶意软件系统功能分析
### 系统架构 Aether是一个复杂的恶意软件,设计用于在目标系统上执行多种恶意操作。它采用了模块化的设计,包含多个功能模块,如加密、文件收集、系统信息收集、持久化、自毁等。 **持久化** - 通过修改`plist`文件,将恶意软件添加到系统的登录项中,确保每次系统启动时自动运行。 **自毁机制** - 通过多次覆盖文件内容并删除文件,确保恶意软件在完成任务后自毁。 - **持久化攻击**:通过修改系统启动项,确保恶意软件在系统重启后仍然运行。 - **自毁机制**:在完成任务后自毁,避免被检测和追踪。 这些源代码也可以用作AI分析的元数据,喂给AI吃,等代码量足够多了,即可实现一个deepseek或者其他AI病毒分析智能体(Agent)。
19500编辑于 2025-06-16 - 来自专栏FreeBuf
Rudeminer&Blacksquid&Lucifer恶意软件分析
写在前面的话 Lucifer是一款Windows加密货币及DDoS恶意软件,就在三个月前,研究人员发布了一份报告并详细介绍了该恶意软件的活动。 恶意活动分析 攻击一开始是由攻击者入侵的服务器来发起的,下图中显示的是一个多平台的针对Windows、Linux和物联网设备的感染链。 图中的Windows设备在受感染之后会继续向内网以及外网设备传播恶意软件: ? 下面给出的是恶意软件中一些有趣的字符串序列: ? 除此之外,我们在对Spreadminer样本进行分析之后,发现它也使用了一个自定义的XMR矿池,并且绑定的是第一个钱包。 我们认为这个字符串跟一款名叫“Rude”的恶意软件有关,这也表明该活动背后的攻击者已经活跃超过一年半了,而且一直在升级和更新恶意软件代码库。
88740发布于 2020-11-06 - 来自专栏linux运维
恶意软件感染:系统被恶意软件感染
断开网络连接首先,断开受感染系统的网络连接,以防止恶意软件进一步传播或与外部通信。 使用杀毒软件进行扫描使用专业的杀毒软件对系统进行全面扫描,检测并清除恶意软件。ClamAV:ClamAV 是一个开源的杀毒软件,适用于 Linux 系统。 检查系统日志查看系统日志,寻找恶意活动的迹象。 检查启动项和服务检查系统启动项和服务,确保没有恶意程序在系统启动时运行。 恢复系统如果恶意软件已经造成了严重损害,可能需要恢复系统。备份重要数据:在恢复系统之前,确保备份所有重要数据。
37300编辑于 2025-02-06
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号