基于沙箱的恶意代码检测实验

最新推荐文章于 2024-05-11 05:54:16 发布
最新推荐文章于 2024-05-11 05:54:16 发布
阅读量3.2k 收藏 18
点赞数 2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/AC1145/article/details/103380567
版权

基于沙箱的恶意代码检测实验

实验工具及环境

1.win XP虚拟机一台(win 7也可)

2.sandboxie 沙盒计算机程序

Sandboxie是一个沙盒计算机程序,由Ronen Tzur开发,可以在32位及64位的、基于Windows NT的系统上运行(如Windows XP、Windows 7等)。Sandboxie会在系统中虚拟出一块与系统完全隔离的空间,称之为沙箱环境,在这个沙盘环境内,运行的一切程序都不会对原操作系统产生影响。Sandboxie的本意是提供安全的Web浏览以及增强隐私,但是它的许多特性使用得它非常适合进行恶意软件分析。

3.BSA(Buster Sandbox Analysis)

BSA是一款监控沙箱内进程行为的工具。通过分析程序行为对系统环境造成的影响,确定程序是否为恶意软件。通过对BSA和Sandboxie的配置,可以监控程序对文件系统、注册表、端口甚至API调用序列等的操作。

4.winpcap

Winpcap(windows packet capture)是Windows平台下一个免费、公共的网络访问系统,它为win32应用程序提供访问网络底层的能力,Winpcap不阻塞、过滤或控制其他应用程序数据报的发收,它仅仅只是监听共享网络上传送的数据报。
在本实验中,winpcap仅用于启动BSA

注意:需要配置sandboxie后,才能使得sandboxie和BSA联动

实验步骤 对恶意代码行为监控

1.启动BSA监控

进入BSA页面后,发现需要对sandbox的监控目录进行配置
在这里插入图片描述

我们可以先让sandboxie运行一个程序,进而找到监控目录。于是我们使sandboxie运行网页浏览器,具体步骤如图
在这里插入图片描述
右击点击屏幕右下角的沙箱图标,点击“浏览保存内容”,具体操作如下
在这里插入图片描述
此时会弹出监控目录的路径,我们把这个路径抄到BSA中即可
在这里插入图片描述
点击start analysis 按钮,进入监控模式
2.沙箱加载木马
我们再次通过沙箱打开已经存有的木马,点击“运行任意程序”,把木马放进去,加载运行
在这里插入图片描述
发现,BSA一直在监控记录信息,红框部分就是监控到的该程序调用的API信息
在这里插入图片描述
等不再有新条目产生后,我们从沙箱处结束程序,并点击BSA的finish analysis 按钮,结束监控

3.分析结果
a、 行为统计结果
打开view analysis fields,查看行为统计
在这里插入图片描述
在这里插入图片描述
该图罗列出恶意代码常见行为,其中yes表示当前运行程序所出现的恶意行为。该木马大体有如下恶意行为:

1.创建/修改磁盘目录
2.创建新的启动项
3.试图中止Windows会话
4.键盘记录
5.创建新服务
6.修改常见注册表项
7.存有其他可疑行为

b、详细记录
除了大体统计外,我们还可以看到程序运行的具体行为和具体操作对象
打开view report
在这里插入图片描述
详细报告如下
在这里插入图片描述

慎言静思笃行之
关注
  • 2
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
恶意软件沙盒规避技术与原理详解
07-01 1204
随着黑客正在实施最新技术来绕过防护,网络攻击正变得越来越复杂。勒索软件和0 day供击是过去几年中最普遍的威胁,如今逃避沙盒的恶意软件将成为网络攻击者未来的主要武器。 沙盒技术被广泛用于恶意软件的检测和预防,因此,黑客一直寻找方法让他们的恶意软件在沙盒中保持不活动状态。这样,逃避沙箱的恶意软件可以绕过保护并执行恶意代码,而不会被现代网络安全解决方案检测到。 在本文中,我们描述了恶意软件用来避免沙箱分析的技术,并说明了用于检测逃避沙箱的恶意软件的现有方法。本文对于正在开发网络安全解决方案的开发人员很有
恶意代码分析实战(二)
weixin_45870307的博客
12-05 919
恶意代码分析实战(二) 动态分析基础 1.沙箱 沙箱可以简单的运行可执行程序但是沙箱不能分析一些需要特定的条件才能运行的恶意程序,沙箱不能记录所有的事件。 2.运行恶意代码 运行dll程序使用rundll32.exe程序 语法为 rundll32.exe DLLNAME,EXPORT ARGUMENTS EXPORT为dll中的函数名或序号. 3.进程监视器 使用process monitor 监控注册表,文件,网络,进程行为 4.使用进程浏览器来查看进程 使用process explorer 可以查看进程
2024年最全如何利用沙箱进行恶意软件分析?_恶意程序沙箱,干货满满
最新发布
2401_84544780的博客
05-11 784
为了帮助大家更好的学习网络安全,小编给大家准备了一份网络安全入门/进阶学习资料,里面的内容都是适合零基础小白的笔记和资料,不懂编程也能听懂、看懂,所有资料共282G,朋友们如果有需要全套网络安全入门+进阶学习资源包,可以点击免费领取(如遇扫码问题,可以在评论区留言领取哦)~😝有需要的小伙伴,可以点击下方链接免费领取或者V扫描下方二维码免费领取🆓👉CSDN大礼包🎁:全网最全《网络安全入门&进阶学习资源包》免费分享**(安全链接,放心点击)**👈​。
检查linux是否使用沙箱,一种基于容器的恶意代码检测沙盒系统及检测方法与流程...
weixin_42116650的博客
05-13 406
本发明属于信息安全技术领域,具体涉及一种基于容器的恶意代码检测沙盒系统及检测方法。背景技术:近些年来,恶意软件大量的使用了多重加密壳、驱动关联壳、变形壳等代码保护机制和多态和变形等新的技术,使传统的恶意代码静态分析技术遭到了严重的挑战。而基于沙盒技术的动态行为分析技术成为识别未知恶意代码,对抗高级持续性威胁(APT)的有效方法。现有的沙盒技术,一般分为两种:一种是基于Hook技术的沙盒。通过对内核...
如何利用沙箱进行恶意软件分析?
瓦罗兰特顶级C位的博客
03-09 794
恶意软件分析是研究恶意样本的过程。在研究过程中,研究人员的目标是了解恶意程序的类型、功能、代码和潜在危险。接收组织需要响应入侵的信息。
javaweb支付宝沙箱实验
Masterheaven的博客
09-09 363
1、首先必须要有支付宝号码,然后登陆蚂蚁金服开放平台,进入沙箱环境 2、其次,设置图中的公钥,方法是使用,密码生成工具 3、设置商家应用网关和回调地址,如图所示 4、下载SDK demo,解压时注意不要改压缩包名字,设置Alipayconfig的相应参数(重点是其中的公钥、私钥和支付网关以及url工程路径设置) 5、若是要加入自己项目,自行更改即可。...
如何利用基于云的沙箱来分析恶意软件?
weixin_34348805的博客
08-01 373
对于企业来说,传统防病毒和端点安全工具是分层网络防御战略的关键组成部分,但在检测恶意软件方面,它们并非100%有效。 有些更高级的恶意软件(例如利用零日漏洞的多级恶意软件)可攻击这些安全工具并感染受害机器。这种高级恶意软件通常由民族国家或有组织犯罪团伙用来入侵具有良好传统防御的企业,并且,他们通常通过电子邮件网络钓鱼攻击作为交付方式。 为了加强端点安全...
Noriben沙箱:分分钟搞定恶意软件
weixin_34405557的博客
08-01 921
我们希望大家能在新的一年里做的更好,尤其是能更快更有效地分析恶意软件。数年前,我构建了一个恶意软件分析沙箱脚本,用于每日的分析和逆向工作。现在让我给大家展示下如何在几秒钟内,不用太多设置,就能进行恶意软件分析。 介绍 如果你在推特上关注了我,或者对本博客以前的内容有所了解,你可能就会熟悉Noriben。不管怎样,我这里先做个介绍,它是一个非常简单的脚本...
基于动态行为和机器学习的恶意代码检测方法.pdf
09-24
基于动态行为和机器学习的恶意代码检测方法克服了传统签名检测的局限,通过深入分析代码的运行行为和网络活动,能有效地检测未知和复杂的恶意代码。BGRU模型的引入进一步提升了检测的精准度和效率,为未来的恶意代码...
基于WEB的C语言虚拟实验教学平台
04-18
为保障平台安全,需要实现代码沙箱机制,防止恶意代码对服务器造成危害。同时,优化服务器性能,保证在大量并发访问下系统的稳定运行。 五、教育价值 这样的虚拟实验教学平台能打破时间和地点的限制,让学习更具...
twig模板手册
09-05
twig手册pdf版本的,带有锚点,使用特方便
基于机器学习的恶意文档识别工具设计与实现.pdf
09-24
文章提出了一个基于机器学习的恶意文档检测方法,旨在提高对这类威胁的检测效率和准确性。 【动态行为分析】是文中提到的检测方法的一部分,这通常指的是使用【虚拟沙箱】技术。虚拟沙箱为未知文档提供了一个隔离的...
sandbox:用于随机事物的 NodeJS 沙箱
06-29
- **处理用户输入**:例如,如果有一个功能允许用户编写脚本,那么这些脚本就需要在沙箱中执行,防止恶意代码对系统造成危害。 沙箱环境的实现通常包括以下步骤: 1. **初始化沙箱**:创建一个独立的执行上下文,...
华为云沙箱实验室的相关操作介绍
weixin_45347232的博客
05-29 2042
华为云沙箱实验室的相关操作介绍 首先要预置实验环境,要不然没办法做下去,这点一定不要忘记。预置实验环境就在华为云实验账号密码的下面 第二个注意的地方就是虚拟机的密码,当题目说到预置信息中密码就在点击中间位置的眼睛就会出来。 还有就是跟着题目的要求做,如果不按要求来是没办法通关的。其他就没什么问题了 ...
浅谈恶意代码检测分析
2301_76161259的博客
04-25 1310
现有的恶意代码变种,在实现上可大致分为两类:一类是基于基础技术的共用,恶意代码开发人员通过重用基础模块实现变种;一类是恶意代码专门针对现有防范技术而设计开发的混淆技术。混淆技术按实现机理,可分为两类:一类是干扰反汇编的混淆,使反汇编无法得到正确结果,从而阻碍进一步分析;另一类是指令/控制流混淆,此类混淆技术通常采用垃圾代码插入、寄存器重分配、等价指令替换及代码变换等方式,改变代码的语法特征,隐藏其内部逻辑关系。
动态恶意软件分析工具介绍
myguaicai的博客
11-08 1645
动态恶意软件分析工具介绍 网络安全观察者 在本教程中,我们将介绍动态恶意软件分析工具,用于了解恶意软件执行后的行为。本教程是我们恶意软件分析教程中的第2部分。如果您尚未阅读本系列的第1部分,请先阅读本系列教程1,然后再继续这一篇。 在本教程中,我们将介绍用于在虚拟机中执行恶意软件后分析活动的动态恶意软件分析工具。我们将分别介绍Procmon,Process Explorer,Regshot,ApateDNS,Netcat,Wireshark以及INetSim等工具来进行恶意软件的分析。动态恶意软件分析
[网络安全提高篇] 一二〇.恶意软件动态分析经典沙箱Cape批量提取动态API特征
杨秀璋的专栏
03-26 3443
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文详细介绍动态分析沙箱Cape的安装过程,其是一个开源的自动恶意软件分析系统,通过自动运行和分析恶意软件,全面分析和提取恶意软件的关键特征。然而,当样本数量增加时,单个样本分析会降低效率。这篇文章将讲解如何实现Cape沙箱的批量分析,通过调用Python脚本文件来实施批量处理,并将分析结果存储在指定位置,最后补充submit.py的参数及Python调用方式。基础性文章,希望对您有帮助!
控制“恶意”代码,安全运行沙箱类技术崛起
m0_72622669的博客
10-26 388
据CNNIC的最新估算,截至10月31日,我国上网用户人数达到5800万,上网计算机数升至2300万,从七月份至今,在短短的四个月间分别增加了1220万和687万。这预示着我国互联网在经过一段时间的发展低潮之后正在开始回暖。但不管互联网智能设备如何发展,应用生态最为丰富的,最成熟的当属于而在智能设备中无论引入HTML5还是小程序应用,载体都是我们最熟悉的浏览器。
基于Android平台的恶意代码行为分析研究.pdf
06-21
作者设计了一套新的基于沙箱的Android恶意代码行为分析系统。这个系统的核心是修改Android的原生系统,对敏感数据的流向进行实时追踪,确保数据安全。系统通过定义和嵌入数据标签,利用Binder IPC机制在程序间传递...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值