首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

恶意样本 | 常用恶意软件分析平台

声明:本人坚决反对利用文章内容进行恶意攻击行为,一切错误行为必将受到惩罚,绿色网络需要靠我们共同维护,推荐大家在了解技术原理的前提下,更好的维护个人信息安全、企业安全、国家安全。...0x01 前言 做为一名网络安全爱好者在日常工作中难免会用到一些恶意软件检测平台,用来分析一些木马样本,例如:钓鱼邮件的恶意样本分析分析网上下载的工具是否存在木马后门,自己编写了免杀工具查看其免杀效果等...接下来,小编通过网上搜集了一些恶意软件检测的在线平台,总结如下: 0x02 恶意软件检测分析平台 VirSCAN: https://www.virscan.org VirusTotal: https:/...: https://www.maldun.com 微步在线云沙箱: https://s.threatbook.cn 腾讯哈勃分析系统: https://habo.qq.com 奇安信威胁情报中心: https...://ti.qianxin.com 大圣云沙箱检测系统: https://mac-cloud.riskivy.co

2K30

恶意样本基础分析技巧

我们需要知道这个恶意代码到底做了什么,如何进行有效检测,才能进一步消除它带来的影响。 本文主要通过几个简单的步骤,分享恶意样本分析的基本方法。...---- 1、多引擎在线病毒扫描 找到了一个恶意样本程序,通过多病毒引擎进行安全扫描,可以帮助你判断文件是否为恶意程序。 VirSCAN:免费多引擎在线病毒扫描1.02版,支持47个杀毒引擎。...2、文件哈希值 文件哈希值是恶意代码的指纹,通过它用来确认文件是否被篡改,也可以通过HASH值查找恶意样本,一般我们也可以使用多种哈希验证文件的唯一性。 ?...可通过获取关键信息,来猜测恶意代码的功能。 ? 6、云沙箱分析恶意样本上传到微步云沙箱,通过威胁情报、静态和动态行为分析,以发现恶意程序存在的异常。...微步云沙箱: https://s.threatbook.cn/ ? 7、动态行为分析 通过火绒剑对文件行为、注册表行为、进程行为、网络行为进行分析,捕获恶意样本特征。 ?

2K20
  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    红蓝对抗-Cuckoo 恶意软件分析沙箱部署教程

    Cuckoo Cuckoo(布谷鸟)沙箱是一个开源且免费的自动化的恶意样本分析系统。...,概述该文件在沙箱中执行时的行为,支持分析Windows, macOS, Linux, 和 Android下的恶意文件....当提交样本到cuckoo host后,cuckoo host会调度一个空闲的analysis guest节点,同时将样本传递给所选择的沙箱节点进行自动化分析分析结束之后将沙箱节点采集到的分析数据进行汇总...等待状态变为reported说明已经分析完成,点击任务可查看分析报告 总结 总体来说cuckoo还是一款比较完善且专业的开源沙箱分析系统, 对于研究分析恶意软件和应急响应人员来说都是一个很不错的选择...稍有差错会导致运行失败 英文界面, 需要使用者具有一定的英语基础 内存分析时间太长, 基本都在半小时左右 更新迭代慢(最新版本为2019年发布) 默认的规则, 样本库对恶意软件的支持较少 对于新的恶意软件需要使用者自己编写

    6.1K10

    三十一.恶意代码检测(1)恶意代码攻击溯源及恶意样本分析

    3.相似性计算 溯源旨在通过分析样本的同源性定位到家族或作者,样本的同源性可以通过分析代码相似性来获取。相似性计算旨在衡量恶意代码间相似度,具体为采用一种相似性模型对恶意代码的特征进行运算。...追踪溯源方法 恶意样本的追踪溯源需要以当前的恶意样本为中心,通过对静态特征和动态行为的分析,解决如下问题: 谁发动的攻击? 攻击背景是什么? 攻击的意图是什么? 谁编写的样本?...5.同源分析 该方法主要为在获取到恶意样本后,很难第一时间关联到攻击者或者恶意样本提供者的信息,但是可以通过和历史恶意代码进行相似度分析,获得历史攻击事件,从而关联到相应的组织或团体。...编译源码后捆绑恶意软件,一般选择advanced installer作为捆绑打包器(还有AutoIt,NSIS)。 发布到搭建的网站上。 在互联网上发布推广其软件。 窃取用户敏感数据(账号密码)。...] 三十一.恶意代码检测(1)恶意代码攻击溯源及恶意样本分析 参考文献: [1]姜建国,王继志,孔斌,等.

    5K30

    恶意代码分析实战六:熊猫烧香病毒样本分析

    熊猫烧香行为分析 查壳 因为程序肯定是病毒,我就不上传杀毒网去查杀了。正常我们在分析一个未知恶意程序的时候,流程都是要先上传杀毒网看看。...导出表中分析出URLDownload函数,此函数多为下载者恶意程序。 弱口令内网135端口爆破 感染U盘 下载者功能 135弱口令爆破密码。 U盘感染字符串关键字。 恶意下载者函数。...行为分析 进程树监控 这里我们还是用Process Monitor来监控病毒行为,打开Process Monitor,在筛选条件中将“样本.exe”加入到筛选器的“Process Name”中,然后运行病毒...main入口函数 用“倚天剑”IDA Pro载入样本后可以看到如下图: 图1是样本的main函数入口最开始的汇编代码,我们不从第一行汇编代码开始看,因为大部分内容都是Delphi自动生成的,我们只找关键位置来看...,就有分析样本.exe会把自身拷贝到这个目录,达到伪装隐蔽的效果。

    3.3K20

    负载恶意软件HawkEye的VB Inject样本分析

    0x01 概述 恶意软件HawkEye的利用大多都是通过钓鱼邮件分发,利用office直接启动HawkEye主体或者一些经过加密的程序,本文中的VB Inject属于后者,也把重心放在了调试这个VB程序上...VirusTotal上的该样本信息: ? 病毒名大多为VBKrypt或者VBInject。 0x02 行为监控 ?...用wireshark抓网络行为,发现该样本会访问http://whatismyipaddress.com/,并与yandex邮件服务器建立连接。 ?...0x05 样本主体 在之前的行为监控中,注意到,样本在C:\User\user\AppData\Romaing\目录下生成了三个文件 pid.txt,pidloc.txt,WindowsUpdate.exe...反编译成功后,发现该程序是恶意软件HawkEye,用于凭据窃取,包括电子邮件Web浏览器,Bitcoin钱包,反病毒检查,键盘记录等。

    1.1K10

    Norimaci:一款针对macOS的轻量级恶意软件分析沙箱

    关于Norimaci  Norimaci是一款针对macOS的轻量级恶意软件分析沙箱,Norimaci使用了OpenBSM和Monitor.app的功能来监控macOS操作系统的活动(没有使用Sysinternals...在该工具的帮助下,广大研究人员可以轻松监控macOS下的恶意软件活动情况。...我们需要构建一个macOS虚拟机来执行恶意软件样本。...广大研究人员可以使用下列命令将该项目源码克隆至本地: git clone https://github.com/mnrkbys/norimaci.git  工具使用  结合OpenBSM使用 1、使用sudo运行norimaci.py; 2、运行恶意软件样本...1、使用sudo运行norimaci.py; 2、Norimaci启动Monitor.py后输入密码,因为Monitor.app需要密码来安装它的kext文件; 3、运行一个恶意软件样本; 4、等待一段时间

    94810

    小程序沙箱技术如何防范恶意代码?

    零信任最早由Forrester 分析师John Kindervag于2010年提出,它既不是一项技术,也不是一款产品,而是一种新理念,基本原则是“从不信任,总是验证”。...在系统的监视下,网络中的每一个活动都被记录在案,并且经过可视化安全分析,可以有效辨别出哪些是异常账户,勒索软件和恶意操作都清清楚楚地展示在你的眼皮底下。...从云端到浏览器端,都有一种机制,这种机制就是:安全沙箱。安全沙箱属于浏览器架构层面的安全防护,有了安全沙箱的存在,可以尽可能降低攻击带来的伤害程度。...沙箱技术有很多种类,是否能称之为“安全沙箱”,则视乎其隔离的程度和自身的技术目的。...一种企业灵活再开发和使用的沙箱技术小程序化”、“安全沙箱化”被认为是其中一个基石。逻辑如下:企业的一切业务内容,表现方式就是软件化代码化。

    48130

    一个Hancitor恶意邮件活动Word文档样本分析

    与“分析一个用于传播Hancitor恶意软件的Word文档(第一部分)”【https://www.freebuf.com/articles/system/181023.html】一文中描述的现象很相似。...经过对宏文档和PE负载的分析,发现本次样本包含的宏代码与Hancitor文档宏代码有较大的变化,但是通过对内含主要PE负载文件的分析,发现二者基本一致,比如IDA反汇编后形式、代码加密执行、网络通信协议...因此,可基本判定本次恶意邮件攻击属于Hancitor恶意邮件攻击行动。...二、恶意分析 打开后,发现宏包含了两个窗体对象UserForm1和UserForm2,并且包含的内容都是“4d5a9000”开头的字符串,很明显这是两个PE文件。 ?...三、结语 与以往宏病毒样本相比,本次恶意宏文档具备如下的几个特点: 1、没有网络下载动作。文档内直接包含恶意负载部分,没有利用类似powershell脚本下载恶意文件。 2、没有直接进程执行动作。

    1.6K10

    恶意样本和威胁情报资源的分享

    背景 对于威胁情报的分析很大部分都是需要基于恶意样本为载体进行展开分析的,白帽研究员、二进制分析以及逆向研究员在学习和研究过程中,也需要各种类型的恶意样本进行研究分析。...3、https://tria.ge/reports/public 该平台的恶意样本量还有恶意样本的种类还是比较丰富的,同时也有对应的恶意样本分析报告,可以结合需要进行获取恶意样本。...4、https://www.hybrid-analysis.com/ 该平台对样本分析识别是否为恶意样本,采用AV的检测方案,同时检测的指标还很多,也对恶意样本进行风险评估,并且将样本里面的攻击方案和防护方案都做分析...国内恶意样本源 1、微步在线云沙箱: https://s.threatbook.com/ 这个微步云沙箱平台的恶意样本也是各种类型都有并且样本量也很多,对恶意样本分析也很详细的。...2、奇安信威胁情报中心: https://ti.qianxin.com/ 这个平台的恶意样本和威胁情报分析还是很不错,对于威胁情报分析奇安信还是很专业的,可以结合前面平台进行分析恶意样本获取。

    78740

    病毒分析快速入门(二)--实战QuasarRAT

    前期准备完成,便可以着手进行样本分析了。 样本可从app.any.run获取,使用邮箱免费注册后,便可以下载该沙箱的公开样本 小c随便在该沙箱选择了一个样本,下载,准备开搞 ?...---- 动态行为 ---- 在样本分析的过程中,首先通过虚拟机,沙箱等运行样本,看样本执行什么样的行为,再根据其行为去分析样本中代码,这样的方式有助于加快分析速度。...---- 01 本地虚拟机 首先通过第一节搭建分析环境运行样本(最好将虚拟机设置位断网状态),对于此类32位的样本,推荐使用SysTracer进行行为抓取。...将释放的dllcheck.exe设置为计划任务,实现持久性 02 外部沙箱 这次选用微步在线沙箱(https://s.threatbook.cn/)运行样本试一下(在以后正式的工作中,最好别将公司安排分析样本传到外部沙箱...,在实际静态分析恶意代码之前,可先通过查阅同家族样本相关报告,先熟悉该家族木马,再进行详细分析

    3.5K41

    恶意样本自动化配置提取初探

    CAPEv2](CAPEv2/Emotet.py at f2ab891a278b2875c79b4f2916d086f870b54ed5 · kevoreilly/CAPEv2 (github.com)) 沙箱的提取代码...,在前面奇安信攻防社区-APT 恶意 DLL 分析及 C2 配置提取(子 DLL 篇) 分析的基础上尝试编写自动化配置提取,如有错误还请指正。...pip install pycryptodomex pefile——应用 PE 结构模板,定位文件头和节表区的字段和数据 标准库:struct、socket、itertools 编译器: vscode 样本...7f94107c9becbcc6ca42070fca7e1e63f29cdd85cbbd8953bbca32a1b4f91219 ECC 密钥提取: 首先在 IDA 或 XDBG 中定位到解密的代码的特征数据区,由于之前分析得很详细了...positioning_c2_data(file_data)) #返回的结果为('c2_list_offset:', '0x21e00') 同理编写 C2 解密代码:(成功提取) 以前的分析中说过了公钥在加密中的数据格式

    27020

    五十七.恶意软件分析 (9)利用MS Defender实现恶意样本家族批量标注(含学术探讨)

    这篇文章将讲解如何利用MS Defender实现恶意样本家族批量标注,在通过VS、VT采集批量样本后,通常需要样本家族标注,如何准确识别家族类别至关重要,其将为后续的恶意软件家族分类或溯源提供帮助。...代表性恶意软件如下表所示: 恶意代码溯源是指通过分析恶意代码生成、传播的规律以及恶意代码之间衍生的关联性,基于目标恶意代码的特性实现对恶意代码源头的追踪。...二.利用MS Defender批量标注恶意软件 假设存在如下所示的恶意软件,包括PE样本、Powershell样本和XLM样本,MD5仅给出部分。...1.构建恶意软件样本白名单 通常,我们会遇到的第一个问题是:这些病毒样本会被杀毒软件查杀,如何解决呢?...VirusTotal 是目前最大的在线恶意软件扫描平台,应用了 70 多种反恶意软件引擎,并且能提供详细的分析报告和丰富的数据源,在安全界被研究者们广泛应用于恶意软件注释和系统评估。

    31610

    手工搭建简易的Linux恶意脚本分析系统

    该如何揭示病毒家族中恶意脚本之间的关系呢?接下来,我们就通过手工搭建一个简易的恶意脚本分析系统,来实现对恶意脚本之间关系的研究。...计算脚本与样本库中每个样本的相似度。 提取脚本新增/改动的恶意代码。...显示效果如下,高亮显示脚本与相似样本间具体的新增/更改/删除恶意代码行。 ?...原理分析 3个核心功能分别由yara_scan函数、check_similarity函数、parse_modification函数实现,若check_similarity没有计算出相似度高的关联样本,则不执行...总结 Linux恶意脚本大部分没有进行混淆,使用开源库difflib进行文本比较是个简单高效的方法,通过该系统,可以快速的分析新型恶意脚本的更新部分,以及与其他病毒家族脚本的关系。 ?

    1.2K20

    小程序沙箱技术,将恶意代码锁到“笼子”里

    反正安全风险是传递的,只要有一个零部件有安全漏洞、甚至是在漫长复杂的互联网分发链路上被篡改过注入了恶意代码,你的系统就继承了所有这些风险。软件质量风险。...小程序安全沙箱类技术的盛行先说说App插件生态。...再说说小程序安全沙箱技术。如果将小程序和移动设备插件比喻成“点”,那么小程序安全沙箱技术(例如:FinClip)就是能够让一个个点组装成App的“线”。...运行在这个封闭环境中的进程,其代码不受信任,进程不能因为其自身的稳定性导致沙箱的崩溃从而影响宿主系统,进程也无法突破沙箱的安全管控以读写宿主系统的资源。...小程序容器技术便是一个非常好的「技术催化剂」,将小程序应用生态、移动设备插件生态、移动设备有机的“粘合”在一起,且Plus一个安全沙箱的机制,对软件供应链安全的端侧进行安全隔离和防护。

    38040

    五十八.恶意软件分析 (10)利用火绒安全实现恶意样本家族批量标注(含学术探讨)

    代表性恶意软件如下表所示: 恶意代码溯源是指通过分析恶意代码生成、传播的规律以及恶意代码之间衍生的关联性,基于目标恶意代码的特性实现对恶意代码源头的追踪。...因此,如何有效检测恶意软件,溯源恶意软件至关重要。那么,当我们从VS、VT、微步在线等网站采集海量样本,如何对恶意软件的家族进行标注呢?这就是本文需要研究的问题。...二.利用火绒批量标注恶意软件 假设存在如下所示的恶意软件,包括PE样本、Powershell样本和XLM样本,MD5仅给出部分。我们需要利用火绒软件识别恶意家族。...1.恶意软件家族标注 接下来我们利用火绒进行病毒扫描,然后扫描如果是恶意软件会为每个样本生成一个结果描述,通过这些结果描述即可对恶意软件家族进行标注。整个原理是利用火绒病毒库进行关键特征匹配实现。...VirusTotal 是目前最大的在线恶意软件扫描平台,应用了 70 多种反恶意软件引擎,并且能提供详细的分析报告和丰富的数据源,在安全界被研究者们广泛应用于恶意软件注释和系统评估。

    34310

    恶意软件分析

    ⭐️前言 恶意软件,改你的注册表,搞你的启动项。 让他的软件自动运行,我们如何避免? 我们要用process monitor分析一下! 跟上爆哥的节奏!...Administrator.DESKTOP-D65239C\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup winhex查看 ☀️IDA分析...☀️分析汇编 看右边,依次调用了 这一条就是复制文件到启动项的罪魁祸首!!!...⭐️总结 静态分析拿来总揽全局,看看大概流程 动态分析,根据静态分析的字段来找,然后细看局部! 当然,我们可以先用winhex这样的二进制工具看一下整体! 再用od看一下需要特别关注的地方!...其次了,windbg也很棒,用来看内核程序,分析rootkit这样的内核恶意程序离不开他!

    68330

    哈勃linux沙箱-源码剖析上篇

    哈勃沙箱技术总览 第一节 哈勃linux沙箱 今天说的哈勃沙箱是腾讯哈勃检测系统中,linux恶意文件检测部分的开源代码。...这里只截取一部分,根据github中的说明,大家很容易就可以搭建一个沙箱。 ? 每个技术点咱们在接下来的文章里会陆续讲到,经过我的讲解,大家基本上可以设计一款可用的沙箱。...静态检测的本质是特征码匹配,对已知的恶意文件进行快速匹配进而查杀,如果能在静态检测层面发现恶意代码,就不需要动态分析了,这样速度就会快很多。 ?...5. yara模糊过滤 YARA是一款旨在帮助恶意软件研究人员识别和分类恶意软件样本的开源工具,使用YARA可以基于文本或二进制模式创建恶意软件家族描述信息。...2.没有策略 沙箱的检测策略是没有开源的,这是很宝贵的东西。我们虽然可以获取大量的信息,但是哪些是恶意的,我们没办法判别。当然这就是我们策略该做的事情了,只要有样本,策略还是可以做的。

    2.6K10

    恶意样本对抗栈回溯检测机制的套路浅析

    最近发现有很多漏洞利用或木马程序样本会通过一些技术手段,达到使自动化检测系统或分析人员调试工具的栈回溯机制失效的目的。...在本文中我将会简单分析和推测一下这类恶意样本都是通过哪些套路来实现和栈回溯机制的对抗。需要注意的是,文中讨论的堆栈都是代指线程在用户层的堆栈,并未涉及内核层的堆栈。...0x0 准备 用这两天遇到的某个样本举例来说吧。那是个 RTF 文件格式的 CVE-2015-1641 漏洞利用样本。...突然注意到,多次执行这个恶意样本并同样在 NtCreateUserProcess 命中断点时,这时候的 ESP 和 EBP 的值始终是 0x0900XXXX 左右的地址,而 StackBase 和 StackLimit...p_ebp > stacklimit && p_ebp < stackbase) { pp_ebp = *(ULONG_PTR *)p_ebp; } // 搭建新的栈空间并移动栈指针

    82820
    领券