通过流量取证对恶意软件进行动态行为分析

最新推荐文章于 2023-12-06 10:16:31 发布
最新推荐文章于 2023-12-06 10:16:31 发布
阅读量425 收藏
点赞数

通过流量取证对恶意软件进行动态行为分析

链接:https://freddiebarrsmith.com/mastersthesis.pdf

简介内容:

        主要目的是识别恶意软件行为并对恶意软件进行分类,基本是从一些恶意软件进行抓包,然后对这些数据包进行处理分析,以便于从每个网络流量捕获中提取行为,然后对恶意软件进行分类。

        我关注的只是文章里的测试样本分类,非常详细,可以用来干些别的,不过里面的每种样本提取方法也值得关注,没细看,有兴趣的可以详细看一下。

像下图关注的远控的回连流量中可能存在的恶意行为的一些字段

640?wx_fmt=png

包括apt的样本也是

640?wx_fmt=png

感兴趣可以看一下,今天开isc大会没有详细看,如果有价值可以再好好研读一二。

blackorbird
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
恶意代码动态分析
qq_41821067的博客
02-23 2006
目录实验一问题实验环境实验思路实验过程实验二问题实验环境实验思路实验过程实验三问题实验环境思路实验过程实验四问题实验环境实验思路实验过程 实验一 使用动态分析技术来分析lab03-01.exe文件发现的恶意代码 问题 找出这个恶意代码的导入函数和字符串列表 找出代码在主机上的感染特征 创建一个互斥量,并且复制到systems32下的目录下,而且还将自己添加到注册表的启动项。 找出是否存在一些有用的网络特征码,如果存在,它们是什么? 不断进行DNS域名解析,并进行广播,并是** 的数据包,数据包是随机的。
第二章:恶意软件动态分析基础
weixin_50005008的博客
05-14 1104
文章目录前言动态分析的局限 前言   静态分析侧重的是恶意软件文件形式的表现,动态分析则在一个安全、受控的环境运行恶意软件以查看其行为方式。通过动态分析,我们可以绕过常见的静态分析障碍,例如加壳、混淆,以更直观地了解给定恶意软件样本的目的。由于动态分析揭示了恶意软件样本的作用,因此我们可以根据它的动作与其他恶意软件样本进行比较。这些线索有助于我们根据共同的特征对恶意软件样本进行分类,甚至可以帮助我们识别由相同组织制作或者属于相同攻击活动的恶意软件样本。   最重要的是,动态分析对于构建基于机器学习
流量分析取证
xxfsa的博客
12-06 477
筛选地址usb.addr==2.8.1 usb.addr==2.10.1 分别导出特定分组。得到的2.8.1.txt结尾处多一个空行,键盘流量脚本跑完得到的结果多一个字符。追踪TCP流发现flag.zip,其实可以直接kali foremost出来。wiresahrk打开流量包,直接usb.data_len==8筛选。发现压缩包有密码,接着追踪,在流7找到password。得到2.8.1.pcapng 2.10.1pcapng。解密提取2.10.1.txt之后得到密码。解开压缩包得到flag。
流量取证技术
weixin_43326436的博客
08-06 468
流量
流量取证 本人第一次接触 ,给大家分享 ,两套简单的试题,我每一道都会仔细的解析过去(流量取证入门建议做!)
ntrybw的博客
08-09 887
/r/n"知道这是php一句话木马,并且黑客发送了phpinfo();308号数据包找到Form item: "tpl" = "data/Runtime/Logs/Home/21_08_07.log",但是问的是绝对路径,306号数据包。post有很多,第一张是挑选了包偏后面的记录,第二种是偏前面的,所以ID就有可能不一样,结合题目,我们可以推断,经过黑客的绕过,所以后面那个10087是真正的ID。...
溯源取证-流量分析 级难度的资源
05-30
【标签】:“溯源取证-流量分析资源包”表明了这个压缩包包含的相关工具和数据,主要聚焦于通过流量分析来追查网络事件的来源,以及如何利用各种日志文件进行证据收集。 【文件详解】: 1. **Zui-Setup-1.0.1.exe*...
基于深度学习和内存取证技术的恶意软件检测框架.zip
最新发布
02-19
内存取证是一种获取和分析系统内存信息的技术,它能捕捉到运行时的恶意活动,为恶意软件检测提供实时和动态的视角。内存取证的数据来源包括进程内存映像、注册表项、网络连接等。将深度学习应用于内存取证,可以...
tools:通用和针对恶意软件分析工具
05-01
4. **网络流量分析**:恶意软件经常通过网络进行通信,C语言工具可能包括网络嗅探器和协议解析器,用于捕获和分析可疑的网络流量,寻找命令与控制服务器的联系,或者数据泄露的迹象。 5. **签名生成**:分析工具...
Practice-Malware:恶意软件分析实践
04-10
此外,你还将接触如何使用虚拟机和容器技术(如VirtualBox或Docker)来构建安全的分析环境,以及如何使用日志和调试工具跟踪恶意软件行为。同时,了解如何使用恶意软件数据库(如VirusTotal)和开源情报(OSINT)来...
macc:恶意软件分析速成课程阿拉伯语
05-24
4. **网络取证**:了解恶意软件如何通过网络进行传播和控制,包括HTTP/HTTPS、SMTP、P2P等通信协议的分析,以及日志审查和流量分析技巧。 5. **恶意代码签名和检测**:学习如何创建和使用YARA规则,这是一种强大的...
网络异常流量监测和用户行为分析
12-20
网络异常流量监测,和用户行为分析很好的资料,讲述了一般的原理和方法,很值得参考
Python-ImaginaryC2是一个python工具旨在帮助分析恶意软件的网络行为
08-12
Python-ImaginaryC2是专门针对恶意软件网络行为分析的一款高效工具,它基于Python编程语言,这使得它具有高度的可扩展性和灵活性。在网络安全领域,了解恶意软件的通信模式、命令与控制(C2)服务器交互以及数据传输...
Android 取证实战调查、分析与移动安全.pdf
12-03
6. **应用分析**:恶意软件和可疑应用的分析取证的重要环节。这涉及到APK文件的解包、反编译、动态和静态分析等技术,以揭示隐藏行为。 7. **网络通信检测**:理解如何捕获和分析设备的网络流量,识别潜在的恶意...
电脑涉密信息取证软件
03-31
2. **内存取证**:实时内存分析工具可以帮助获取操作系统、运行进程和网络活动的快照,揭示恶意软件的活动和隐藏的行为。 3. **网络取证**:网络流量分析软件可以跟踪网络通信,识别异常模式,发现可能的数据泄露或...
CTF——杂项3.流量取证技术
woo233的博客
09-09 2867
先用wireshark筛选http的流量,假如没有则筛选tcp的流量,因为getshell是在命令行执行的,可以用tcp contains “command”在关注的http.数据包或tcp数据包选择流汇聚,可以将HTTP流或TCP流汇 聚或还原成数据,在弹出的框可以看到数据内容。在关注的http.数据包或cp数据包选择流汇聚,可以将HTTP 流或TCP流汇聚或还原成数据,在弹出的框可以看到数据内容。比如查看数据包的时候,有的数据包有某种特征,比如有http(80)。Data数据单独复制出来。
杂项题的基本解题思路——4、流量取证技术
_Co1a
10-31 1495
流量文件分析 流量包就是说我向你传递的时候,把你传递过程的数据抓取下来,保存成一个文件 流量取证技术就是说:题目会给你一个流量包,你要在流量包里面找到相应的一些文件(有时候flag值就藏在流量包的某一个位置) ①wirkshark工具 查看自己的电脑有没有安装wireshark:win+R——》输入wireshark看能不能打开 kaliLinux自带了wireshark 利用wirkshark工具的过滤器功能 常用的过滤命令 1、 过滤IP 如过滤源IP或者目的IP ip.src eq x.x
你可能没见过的流量取证
Yale的博客
03-22 736
本人首发于freebuf 0x01前言 还有半年就毕业了,这段时间看自己的小本本,整理出之前练习过的一些经典的CTF题目,希望现在的萌新能通过练习这些题目事半功倍,更好地提升技术水平。本文包括一共4个题目,是流量取证方向,针对的是CTF比较少见的一些协议,比如键盘、鼠标、无线、蓝牙、自定义的私有协议等等。 0x02 2016年谷歌CTF一道200分的题目,针对的是USB鼠标的流量分析。这类题目在...
wireshark流量取证方法
luckc7的博客
11-16 488
熟悉wireshark流量取证方法
Wireshark网络分析取证:2021深度解析
对于初学者,可以通过Wireshark官方网站下载最新版本的软件,同时利用Winpcap库进行数据包捕获。Wireshark维基是一个丰富的学习资源,包含了详细的文档和教程。此外,网络分析技术学习交流平台如科来网络分析系统...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值