首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

恶意样本 | 常用恶意软件分析平台

声明:本人坚决反对利用文章内容进行恶意攻击行为,一切错误行为必将受到惩罚,绿色网络需要靠我们共同维护,推荐大家在了解技术原理的前提下,更好的维护个人信息安全、企业安全、国家安全。...0x01 前言 做为一名网络安全爱好者在日常工作中难免会用到一些恶意软件检测平台,用来分析一些木马样本,例如:钓鱼邮件的恶意样本分析,分析网上下载的工具是否存在木马后门,自己编写了免杀工具查看其免杀效果等...接下来,小编通过网上搜集了一些恶意软件检测的在线平台,总结如下: 0x02 恶意软件检测分析平台 VirSCAN: https://www.virscan.org VirusTotal: https:/

2K30

恶意样本基础分析技巧

我们需要知道这个恶意代码到底做了什么,如何进行有效检测,才能进一步消除它带来的影响。 本文主要通过几个简单的步骤,分享恶意样本分析的基本方法。...---- 1、多引擎在线病毒扫描 找到了一个恶意样本程序,通过多病毒引擎进行安全扫描,可以帮助你判断文件是否为恶意程序。 VirSCAN:免费多引擎在线病毒扫描1.02版,支持47个杀毒引擎。...2、文件哈希值 文件哈希值是恶意代码的指纹,通过它用来确认文件是否被篡改,也可以通过HASH值查找恶意样本,一般我们也可以使用多种哈希验证文件的唯一性。 ?...可通过获取关键信息,来猜测恶意代码的功能。 ? 6、云沙箱分析 将恶意样本上传到微步云沙箱,通过威胁情报、静态和动态行为分析,以发现恶意程序存在的异常。...7、动态行为分析 通过火绒剑对文件行为、注册表行为、进程行为、网络行为进行分析,捕获恶意样本特征。 ?

2K20
  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    恶意样本和威胁情报资源的分享

    下面是我平时研究学习恶意样本中的威胁情报的主要来源地方,国外国内的恶意样本分析平台还有很多很优秀的平台以及其他网络渠道(例如github),可以根据自己需要进行恶意样本的获取。...国外恶意样本源 目前很多新的威胁情报都是来源于国外,因此对于各种新攻击手法,可以重点关注国外的恶意样本源,通过下面的6个平台可以获取到恶意样本。...3、https://tria.ge/reports/public 该平台的恶意样本量还有恶意样本的种类还是比较丰富的,同时也有对应的恶意样本的分析报告,可以结合需要进行获取恶意样本。...4、https://www.hybrid-analysis.com/ 该平台对样本分析识别是否为恶意样本,采用AV的检测方案,同时检测的指标还很多,也对恶意样本进行风险评估,并且将样本里面的攻击方案和防护方案都做分析...国内恶意样本源 1、微步在线云沙箱: https://s.threatbook.com/ 这个微步云沙箱平台的恶意样本也是各种类型都有并且样本量也很多,对恶意样本分析也很详细的。

    78740

    三十一.恶意代码检测(1)恶意代码攻击溯源及恶意样本分析

    例如,Kinable等人提取恶意代码的系统调用图,采用图匹配的方式比较恶意代码的相似性,识别出同源样本,进行家族分类。...Faruki等提出了采用SDhash相似性散列技术构建样本的签名序列,并采用汉明距离法对序列进行相似性计算,从而识别同源性样本。...,从而识别出相似性样本,进而归属到对应的家族。...Niu等提出了层次聚类和密度聚类算法结合的快速聚类算法对操作码序列特征进行聚类,以识别恶意软件变体,该方法识别变体效率较高。...2020年8月18新开的“娜璋AI安全之家”,主要围绕Python大数据分析、网络空间安全、人工智能、Web渗透及攻防技术进行讲解,同时分享CCF、SCI、南核北核论文的算法实现。

    5K30

    负载恶意软件HawkEye的VB Inject样本分析

    0x01 概述 恶意软件HawkEye的利用大多都是通过钓鱼邮件分发,利用office直接启动HawkEye主体或者一些经过加密的程序,本文中的VB Inject属于后者,也把重心放在了调试这个VB程序上...VirusTotal上的该样本信息: ? 病毒名大多为VBKrypt或者VBInject。 0x02 行为监控 ?...其实不太清楚偏移0x68是什么,就查了一下: PEB有一个名为NtGlobalFlag(偏移量为0x68)的字段,程序可以挑战识别它们是否正在被调试。...0x05 样本主体 在之前的行为监控中,注意到,样本在C:\User\user\AppData\Romaing\目录下生成了三个文件 pid.txt,pidloc.txt,WindowsUpdate.exe...反编译成功后,发现该程序是恶意软件HawkEye,用于凭据窃取,包括电子邮件Web浏览器,Bitcoin钱包,反病毒检查,键盘记录等。

    1.1K10

    恶意样本对抗栈回溯检测机制的套路浅析

    在本文中我将会简单分析和推测一下这类恶意样本都是通过哪些套路来实现和栈回溯机制的对抗。需要注意的是,文中讨论的堆栈都是代指线程在用户层的堆栈,并未涉及内核层的堆栈。...0x0 准备 用这两天遇到的某个样本举例来说吧。那是个 RTF 文件格式的 CVE-2015-1641 漏洞利用样本。...先推测该样本篡改 TEB 里 StackBase 和 StackLimit 的值。...这时候样本尚未加载并执行 ShellCode,所以这两个值在这时候是纯净的。...突然注意到,多次执行这个恶意样本并同样在 NtCreateUserProcess 命中断点时,这时候的 ESP 和 EBP 的值始终是 0x0900XXXX 左右的地址,而 StackBase 和 StackLimit

    82920

    【顶刊论文分享】识别恶意bot

    恶意bot通常不会遵从robots.txt,并且会使用robots.txt来识别他们可能忽略的端点。...值得注意的是,Aristaeus平台识别到的恶意bot并没有表现出这种行为模式,其cache breaker都与IP地址一一对应。...四、识别恶意bot 作者在此次实验中共收到了347386个良性请求,占Aristaeus收到请求总数的1.3%。其中搜索引擎bot发出的请求约占84.4%。...根据分析结果可知,恶意bot发送的请求主要包括暴力破解凭证、对web应用程序进行指纹识别、渗透测试、扫描可能存在的敏感文件等,并且会快速实施对最新报告漏洞的探测和攻击。...为了判断bot的真实身份是否与其声明一致,Aristaeus通过识别TLS、JavaScript等指纹发现多数自称是浏览器的bot实际是通过Python和Go实现的,其中TLS指纹在识别恶意bot方面具有非常好的效果

    90720

    如何设置自己的Dionaea蜜罐来收集恶意软件样本

    简介 许多安全人员都热衷于恶意软件的逆向工程。在本文中我将教大家设置一个自己的Dionaea蜜罐,来协助我们恶意软件样本的收集工作。...Dionaea 蜜罐的设计目的是诱捕恶意攻击,获取恶意攻击会话与恶意代码程序样本。...因此,他们可能也不会允许你在他们的服务器上收集恶意软件样本。 AWS设置 现在我们开始设置AWS实例。...该文件用于指定你的恶意软件/二进制文件的位置,以及侦听的接口和端口。你可以保留这些默认值,但请记住,日志文件会变大。 就比如我恶意软件大约1个G但却有19G的日志。 ?...因此,你会收集到更多的恶意软件。我们可以通过services-available和services-enabled目录来切换这些设置。

    1.3K40

    如何识别恶意Cobalt Strike服务器

    考虑到安全测试人员,更重要的是恶意攻击者,大量使用Cobalt Strike平台,识别Cobalt Strike服务器连接到企业网络资产的必要性是显而易见的。...由于 Windows 上的其他普普通通的应用程序也使用相同的套接字,因此,我们很难识别其中的恶意通信。...因此,如果结合 ja3+ja3s,就能够识别这种恶意通信,而不用考虑目的地 IP、域名或证书等细节信息。...JARM是一个主动TLS服务端指纹工具,主要用途如下: 快速验证一组TLS服务器是否使用相同的TLS配置; 通过TLS配置划分TLS服务器,并识别可能归属的公司; 识别网站默认的应用或基础架构; 识别恶意软件...C&C控制节点,以及其他恶意服务器。

    1.9K10

    如何用深度学习来识别恶意软件

    但是,如果我机智地把系统升级,加入人工智能模块,即所谓的深度学习技术,那么即使手指出镜,这瓶液体也可以被识别出来。 深度学习,就像人们所熟知的神经网络,受到大脑激励,不断增强学习识别物体的能力。...用基于代码行为特点的启发式技术来识别恶意软件,产生了基于行为的解决方案。该恶意软件检测技术分析了恶意软件运行时的行为,而非针对恶意软件代码本身的硬编码。...这些解决方案在一个虚拟的环境中执行恶意软件,以确定该文件是否恶意,而非检测运行时的行为指纹。 深度学习检测效果显著 使用人工智能侦测恶意软件的方法应运而生。...结合人工智能,打造更复杂的检测能力是网络安全解决方案演变之路上的最新一步。基于机器学习的恶意软件检测方法应用更详细的算法,根据手动工程的特点来判断一个文件的行为是恶意还是合法。...此外,恶意软件检测率仍然离100%识别很远。 人工智能的深度学习是机器学习的一个高级分支,也被称为“神经网络”,因为它与人类大脑的工作方式如出一辙。

    1.6K90

    视频行为识别(二)——小样本动作识别的分层组合表示

    理论依据是是动作识别任务中新动作类型和基本动作类型之间在子动作和细粒度SAS动作之间有着相似之处。此外,利用Earth Mover’s Distance衡量了视频样本间子动作的相似性。 2....模型结构 图片 上图展示了本文所提出的小样本视频动作识别模型的总体框架,该模型首先通过聚类将复杂的动作划分为若干子动作,然后通过部分注意模块(Parts Attention Module, PAM)进一步将子动作分解为更细粒度的...而且,考虑到直接对齐本地表示沿着时间维度不能很好地处理时间无关的动作样本,本文采用地球移动器的距离(EMD)作为距离函数,以匹配子动作表示,以更好地比较细粒度的模式,实现视频片段内部的时序序列在聚类的子动作中得到很好的保留...最后,利用EMD距离函数计算了支持集和查询集的子动作表示序列之间的相似性,相似性得分送入Softmax层映射到样本动作分类的概率分布中,计算公式如下: 图片 关键技术分析 1....比如本文通过模仿人类在识别动作时通常将动作分为一些小的细节,动作识别模型也将视频中的动作进行两次划分,进行细粒度的识别。 本文在计算动作之间距离的时候,使用的是EMD,并不是计算机领域中常用的算法。

    61320

    一个Hancitor恶意邮件活动Word文档样本的分析

    很明显,恶意文档打开后使用了一个干净的文档替换原来的文档内容,一是使恶意文档不重复进行感染,二是更好的隐蔽保护自身。 ?...经过对宏文档和PE负载的分析,发现本次样本包含的宏代码与Hancitor文档宏代码有较大的变化,但是通过对内含主要PE负载文件的分析,发现二者基本一致,比如IDA反汇编后形式、代码加密执行、网络通信协议...因此,可基本判定本次恶意邮件攻击属于Hancitor恶意邮件攻击行动。...三、结语 与以往宏病毒样本相比,本次恶意宏文档具备如下的几个特点: 1、没有网络下载动作。文档内直接包含恶意负载部分,没有利用类似powershell脚本下载恶意文件。 2、没有直接进程执行动作。...不像以往恶意宏会直接执行恶意负载,作者利用感染用户桌面快捷方式的途径来达成进程启动目的。 3、会利用干净文档替换恶意文档,从而更具迷惑性。

    1.6K10

    恶意代码分析实战六:熊猫烧香病毒样本分析

    理解这一点可以帮助识别栈上的变量。 简单静态分析 用Strings和Dependency分别对熊猫烧香的字符串和导出表进行分析。...导出表中分析出URLDownload函数,此函数多为下载者恶意程序。 弱口令内网135端口爆破 感染U盘 下载者功能 135弱口令爆破密码。 U盘感染字符串关键字。 恶意下载者函数。...main入口函数 用“倚天剑”IDA Pro载入样本后可以看到如下图: 图1是样本的main函数入口最开始的汇编代码,我们不从第一行汇编代码开始看,因为大部分内容都是Delphi自动生成的,我们只找关键位置来看...IDA Pro把数据识别成了***武*汉*男*生*感*染*下*载*者***的中文。...IDR能分析出IDA Pro无法识别的符号,而且对中文字符串的显示效果也很不错,点击SRC按钮还能反编译成Delphi伪代码。

    3.3K20

    智能识别方面主要进展 | 语音识别、OCR识别、图像识别、生物识别…… | 智能改变生活

    智能核心是对认知能力的升级革命,从感知、认知到决策执行,目前基础理论层、技术层的发展已经达到认知层面的建模与分析,应用层则体现为利用智能技术解决各种多模态目标识别的速度和精度,本文整理了目前市场上智能识别领域的典型应用进展及部分厂商...车牌识别:车牌识别技术相信大家都不会觉得陌生,智能交通,小区停车场等,都有很好的应用.为满足市场和用户需求。...相信未来虹膜识别技术在中国市场的空间已经被打开,未来有望在更多智能终端和日常领域得到应用。 ?...OCR(Optical Character Recognition,光学字符识别智能识别技术:通过对图片中的文字进行提取识别,转换成可检索的数据。...成熟的唇语识别系统需要建立在大量人脸特征样本的基础之上,通过带记忆的深度神经网络才能保证结果的最大准确性。

    4.2K30

    恶意软件可欺骗生物识别验证技术

    2016年8月,罗马尼亚软体百科(Softpedia)网站发布消息称,新的恶意软件可以欺骗生物识别验证技术。...据Softpedia报道,已经出现了一种新的恶意软件,旨在破解在金融服务机构中越来越流行的行为生物特征识别技术。这种软件就是Gozi的最新版本:一种在2015年首次出现的恶意软件代码。...值得注意的是,针对高价值目标,恶意软件允许操作员手动接管操作,而这个版本的Gozi会加入一些与某些安全平台中使用的行为生物特征识别相关的数据,如光标移动、按键等,以模仿人类的正常操作模式。...该漏洞的出现说明了在越来越先进的安全技术和不断变化的恶意软件之间存在辩证关系,并为其他在线安全方法如生物识别技术提出了问题。基于浏览器的指纹扫描能否为网上交易提供更好的安全性?...未来的恶意软件是否也可以从在线传输的指纹扫描获取数据? 据Softpedia报道,关于目前的Gozi问题,研究人员将在2016年的美国黑帽(Black Hat)安全大会上进行详细讨论。

    85180

    智能识别图像识别采用了什么原理?智能识别图像识别有哪些应用?

    ,从而减少人工成本的支出,让机器代替人力操作,比如现在比较火热的智能识别图像识别技术,那么智能识别图像识别采用了什么原理?...智能识别图像识别有哪些应用? 智能识别图像识别采用了什么原理?...人工智能技术是涵盖了非常多样的领域的,其中图像识别技术就是现在发展比较火爆的重要领域,对于各种图像都可以通过人工智能进行识别,从而达到各种目的,很多人会问智能识别图像识别采用了什么原理?...智能识别图像识别这项技术虽然并没有完全成熟,但是基础的技术已经能够应用到很多方面的,那么智能识别图像识别有哪些应用?...关于智能识别图像识别的文章内容今天就介绍到这里,相信大家对于智能识别图像识别这项技术已经有所了解了,相信在未来的某一天人工智能的各种技术都会成熟的。

    6K30

    五十七.恶意软件分析 (9)利用MS Defender实现恶意样本家族批量标注(含学术探讨)

    这篇文章将讲解如何利用MS Defender实现恶意样本家族批量标注,在通过VS、VT采集批量样本后,通常需要样本家族标注,如何准确识别家族类别至关重要,其将为后续的恶意软件家族分类或溯源提供帮助。...二.利用MS Defender批量标注恶意软件 假设存在如下所示的恶意软件,包括PE样本、Powershell样本和XLM样本,MD5仅给出部分。...需要注意,您的计算机可能会因之前添加白名单而无法识别,提示如下信息。因此,我们可以再将白名单删除即可,此时删除不会立刻删除我们的恶意样本。 第三步,通过自定义扫描指定目录,我们得到如下图所示的结果。...可以发现8个恶意软件被识别,大家也可以借助其它软件进行扫描。 当我们点击具体的信息,可以看到恶意软件被识别的类型,如下图所示是个特洛伊木马程序。...(MD5),如下图所示: 需要注意,识别结果“TrojanDropper:PowerShell/Cobacis.B”包括2个样本,并且会注明其恶意样本来源。

    31910
    领券