试验-探索自动化病毒样本动态行为分析系统中的漏洞

最新推荐文章于 2021-03-20 18:58:42 发布
最新推荐文章于 2021-03-20 18:58:42 发布
阅读量1.3k 收藏
点赞数
分类专栏: 反病毒新视野 实践
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dalerkd/article/details/48340269
版权

没有分析的生活是毫无意义的.—苏格拉底

试验-探索自动化病毒样本动态行为分析系统中的漏洞

实验设计

试验目的:

通过设计实验探寻主流在线分析工具中可能存在的一些漏洞,期望从中归纳出改善自动分析工具的分析能力.

被测试目标:

自动化的病毒样本动态行为分析系统
fireeye.ijinshang.com
金山火眼

实验步骤:

环境探测

  • 目的:通过对虚拟分析系统环境特征的分析找出能用来区别虚拟分析系统环境和普通用户机的特征.

  • 反馈原理:利用该系统中反馈样本信息的特点反馈可控信息.即使是一个Bool已足够.更详细的资料参看这里:反向探测>病毒虚拟机’特征

  • 系统信息

    • 操作系统版本
    • 进程列表
    • 启动项信息
    • 桌面信息
    • ……
  • 硬件信息
    • 硬件种类数量类型
    • 分区信息
    • 硬件厂商
    • ……

为了防止分析系统不能反馈信息:

  • 无害信息不报告
  • 不需要报告的时候被检测出样本

我们采取的策略是:

将已知病毒体加密后放在靶程序资源区.按通过探测不同的环境信息的结果选择释放或者不释放样本.
用释放样本的名字传递出更多信息.

环境漏洞分析与探测

绕过策略:

  • 火眼分析系统中竟然存在Z盘……太……

逻辑漏洞介绍与探测

直接判断系统环境进行病毒体的释放,容易被现有自动虚拟机发觉.

以下是我用一分钟想出来的方法:

  • 内存膨胀-大大大
  • 重启解密~传参解密
  • 远程获取解密密钥解密。
    -……

本文撰写目的

撰写本文不是为了破坏谁的安全性.
因为安全性就在那里,你不管它,它从不增加.表面光鲜可爱,实则千疮百孔.

笔者想强调的是:
DT时代,数据流的监视的必要性,以及算法识别及防护的必要性。
这都是对传统虚拟机分析的考验。-有感于最近微软的Sonar计划

dalerkd
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
病毒分析教程第二话--动态行为分析
安全杂货铺
07-07 3727
静态特征分析 教程参考自《恶意代码分析实战》 程序来自:http://www.nostarch.com/malware.htm 静态特征分析可以说是分析一个病毒的前奏,属于比较简单的分析分析环节包括:VT检测、编译时间、加壳信息、导入函数、可疑字符串,等等。 Lab 1-1 本节实验使用到两个样本Lab01-01.dll和Lab01-01.exe。 VT检测 ...
传智办公自动化管理系统需求分析样本.doc
12-17
传智办公自动化管理系统需求分析样本.doc
实验二——病毒行为监控--搭建反病毒实验室
Onlyone_1314的博客
09-20 9241
【实验名称】 2、病毒行为监控–搭建反病毒实验室 【实验目的】 1、搭建虚拟机,设置安全的病毒运行环境 2、了解监控病毒行为的常用工具 3、掌握病毒行为监控软件的使用方法 4、使用病毒行为监控软件捕获病毒行为 【实验原理】 为达到其目的,计算机病毒会对操作系统做一些改动,这种改动体现为对文件、进程、注册表和网络等进行操作。监控病毒的这些行为是快速分析病毒的捷径。 【实验内容】 1、参考《课2-实验步骤》 (1)搭建病毒分析实验室 课2:搭建病毒分析实验室 (一)启动计算机-进入第四个操作系统-打开VM
病毒分析与防护实验2—— 搭建反病毒实验室
郭同学如是说
03-20 1454
病毒分析与防护实验2—— 搭建反病毒实验室 实验环境 VMware workstation pro Windows 2003 虚拟机 实验目的 搭建虚拟机,设置安全的病毒运行环境 了解监控病毒行为的常用工具 掌握病毒行为监控软件的使用方法 使用病毒行为监控软件捕获病毒行为 实验原理 计算机病毒为达到其目的,会对操作系统做一些改动 这种改动体现为对文件、进程、注册表和网络等进行操作,监控病毒的这些行为是快速分析病毒的捷径。 本次实验是以keylogger.exe病毒为例 keylogge
病毒行为分析初探(五)
weixin_34185560的博客
12-25 184
病毒行为分析初探(五) 我们接着做更深入一点的研究。 从文件对比,我们看到,病毒在我们C:\WINDOWS文件夹里增加了Other\Fun\dcSVIQ\WinSit几个病毒程序,从病毒的大小和制作时间来看,好像是相同的,只是换了小马甲。显然,病毒是哪儿好塞往哪塞,哪里隐蔽往哪塞。如塞进inf文件夹,就是因为inf文件夹是系统、隐藏特性的文件...
java 远程执行linux命令_如何通过 SSH 在远程 Linux 系统上运行命令 | Linux
weixin_39917718的博客
11-10 162
我们有时可能需要在远程机器上运行一些命令。如果只是偶尔进行的操作,要实现这个目的,可以登录到远程系统上直接执行命令。但是每次都这么做的话,就有点烦人了。既然如此,有没有摆脱这种麻烦操作的更佳方案?-- Magesh Maruthamuthu我们有时可能需要在远程机器上运行一些命令。如果只是偶尔进行的操作,要实现这个目的,可以登录到远程系统上直接执行命令。但是每次都这么做的话,就有点烦人了...
网络通信技术在变电站自动化系统的应用样本.doc
12-21
网络通信技术在变电站自动化系统的应用样本.doc
澳泰自动化-2009产品样本
04-02
介绍了关于澳泰自动化-2009产品样本的详细说明,提供其它知识的技术资料的下载。
财务办公自动化系统设计与实现样本.doc
12-17
财务办公自动化系统设计与实现样本.doc
sshpass远程执行脚本_E-cology远程代码执行漏洞原理分析
weixin_39540704的博客
12-09 149
最近曝光了很多漏洞,后续将对这些有代表性的漏洞进行分析分析,今天有空先审计分析泛微 OA RCE漏洞。E-cology远程代码执行漏洞原理分析2019年9月17日泛微OA官方更新了一个远程代码执行漏洞补丁,泛微e-cology OA系统的J**A Beanshell接口可被未授权访问,攻击者调用该Beanshell接口,可构造特定的HTTP请求绕过泛微本身一些安全限制从而达成远程命令执行,漏洞等...
介绍数种病毒样本分析格式归纳分析策略
KD的疯狂实验室
07-17 2138
对几种经典的病毒样本分析格式进行了介绍,并试图归纳出
使用Process Monitor对病毒进行行为分析
weixin_43742894的博客
05-04 3491
使用火绒剑/Procss Moniter对病毒进行行为分析。 Process Monitor是一个经典的进程行为分析软件,火绒剑作为火绒的一个工具,专门作为病毒行为分析的工具,非常好用,本文以熊猫烧香为例进行行为分析。 实验环境及工具 win7 x86 Process Monitor(因为火绒剑在病毒运行后打不开窗口) 行为分析 第一步:运行“”熊猫烧香,并进行监控 使用过滤器,对PID 2724...
[应用漏洞]OpenSSH scp命令注入漏洞(CVE-2020-15778)
热门推荐
不忘初心,护天下安全!
08-03 1万+
一、漏洞简介 该漏洞发生于OpenSSH <= 8.3p1 系统,即使在禁用ssh登录的情况下,但是允许使用scp传文件,而且远程服务器允许使用反引号(`),可利用scp复制文件到远程服务器时,执行带有payload的scp命令,从而在后续利用getshell。 利用条件:知道目标的ssh密码 二、漏洞原理 scp是 secure copy的缩写, scp是linux系统下基于ssh登陆进行安全的远程文件拷贝命令。linux的scp命令可以在linux服务器之间复制文件和目录。 scp格.
分享几个病毒分析检测网址
weixin_30947043的博客
11-08 1668
1、在线病毒分析网站: 以下网站上传样本后,很快就会在网页上出报告的: (1)这个网址报告格式很简洁,我很喜欢:http://camas.comodo.com/ (2)这个网址的报告最全面,而且会真的把传上去的样本跑一遍:http://anubis.iseclab.org/?action=home (3)这两个很像是同一个网站:http://www.xandora.net/upload/ ...
[漏洞样本分析]CVE-2018-0802
r250414958的博客
11-01 728
环境: Win7(专业版) office 2007 (完全版:更新到sp3补丁\修复eqnedt补丁) 工具: Ollydbg IDA Pro PEid Kali-Linux metasploit POC来源: https://github.com/rxwx/CVE-2018-0802 漏洞背景: 在2017年11月14日,微软发布11月份安全补丁更新,其更新了潜伏17年之久的...
linux-sshpass 绕过ssh 密码交互式验证
lanwp5302的博客
05-10 860
sshpass 绕过ssh 密码交互式验证 登录 sshpass -p 123 ssh -o StrictHostKeyChecking=no [email protected] ssh直接执行命令 sshpass -p 123 ssh -o StrictHostKeyChecking=no -t [email protected] "echo hello" ssh StrictH...
sshpass命令执行不了_一次mv命令引发的血案
weixin_34382015的博客
01-15 755
1. 问题的发生昨天周五,在快下班的时候,大家正准备愉快的下班的时候,突然有同事报告说某个服务器登陆不上了。怎么就突然登陆不了了呢,有谁在操作服务器吗?还真有,一个同事正在操作着服务器,查看他执行的命令,有一个mv命令:`sudo mv /* /home下某个目录`,问题就正在发生了。根目录下的东西基本都基本都被移动到了这个目录下,etc, bin, lib等都未能幸免(只有少数几个目录...
火眼病毒木马分析
weixin_34236869的博客
01-14 197
本文的原文连接是: http://blog.csdn.net/freewebsys/article/details/50515004 未经博主允许不得转载。 博主地址是:http://blog.csdn.net/freewebsys 1,木马分析 最近服务器招了,破windows。 找到了一个木马分析云端软件。火眼,网站是:...
[判断题]网络威胁样本行为分析系统可以有效检测发现栈翻转攻击
最新发布
06-10
这道题目的答案是:错误...网络威胁样本行为分析系统可以进行一些行为分析,但是它也需要其他的防御措施来提高安全性。因此,网络威胁样本行为分析系统不能保证对所有的攻击类型都能够有效检测和发现,包括栈翻转攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值