【恶意代码与软件安全分析】(三)dynamic analysis

最新推荐文章于 2024-05-15 18:00:56 发布
最新推荐文章于 2024-05-15 18:00:56 发布
阅读量244 收藏 1
点赞数
分类专栏: 恶意软件 文章标签: 系统安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cwllll/article/details/124393283
版权

【恶意代码与软件安全分析】(三)

virtualbox崩掉了,只能跳过第二章先做第三章了。。。😭

动态分析

在一个安全的环境下运行恶意软件并观察其行为

分析后输出内容
  • process & Service Behavior
    • 进程创建
    • 进程终止
    • 进程数
  • network behavior
    • DNS解析:域名和关联的IP
    • 流量
      • TCP、UDP、ICMP
      • C2、Scan、DDoS
  • file behavior
  • registry behavior
  • mutex behavior

分析方法

在这里用的是sandbox,俗称沙盒。沙盒技术是发现可疑行为后让程序继续运行,当发现的确是病毒时才会终止。

沙盒技术的实践运用流程是:让疑似病毒文件的可疑行为在虚拟的“沙盒”里充分表演,“沙盒”会记下它的每一个动作;当疑似病毒充分暴露了其病毒属性后,“沙盒”就会执行“回滚”机制:将病毒的痕迹和动作抹去,恢复系统到正常状态。

沙盒可以大致分为两种,一种是Cloud Sandbox,另一种是local Sandbox。

Cloud Sandbox

  • www.virustotal.com
    • 安全、快捷
    • 多种沙盒,多种操作系统支持
    • 方式:使用哈希值搜查或者使用文件搜查

local Sandbox

  • cuckoo
    • 远程控制、监控恶意软件的行为
    • 多种输出
静态与动态分析的陷阱

  • 恶意软件可以检测到沙盒

  • 恶意软件可能不能在沙盒中运行

    • 缺少正确的配置文件

    • 缺乏网络交流

    • DLL vs EXE

  • 恶意软件可能在沙盒中运行得很慢

    • 需要沙盒重启
    • 需要沙盒观测很长时间去捕获行为

【实验练习】

登录网站 https://www.virustotal.com ,就能看到它提供三种方式进行检测。于是我们选择将文件上传。
在这里插入图片描述
之后我们可以看到一个初步的分析输出内容,但其实这样的分析比较简略,得不到太多的信息。因此,我们再利用文件名的hash值作为输出再次分析。
在这里插入图片描述
然后就得到了一个比较好的查询结果。

behavior behavior

在这里插入图片描述

registry behavior

在这里插入图片描述

process behavior

包括进程的创建、进程数树等。在这里插入图片描述

mutex

在这里插入图片描述

network behavior

相关联的域名和IP
在这里插入图片描述

实验总结

可以看的出来,sanbox的功能确实很强大,可以对恶意程序进行比较透彻的分析。不过感觉对于www.virustotal.com 的使用技巧还是不太明白和熟练。(到底是要上传文件呢,还是使用文件的hash值呢?而且文件的hash好像可能会不一样?)

麻吉叽
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
软件构造 8.2 Dynamic Program Analysis Methods and Tools
Goerwa的博客
06-24 309
1.动态程序分析动态程序分析:根据程序一次或多次执行的结果和结果,分析代码在时空性能方面所展现出的性质。静态分析使用抽象的输入值;动态分析使用具体的输入值。为使动态分析有效,目标程序必须执行足够多次,以观察到完整的、不同的执行行为;通过代码覆盖度,确认动态分析是否已经足够;要尽可能小的影响程序原本的执行,否则性能测量不准确。80-20规则:20%的程序负责80%的执行时间。2.分析方法分析方法有:...
挖掘序列恶意 API 模式以检测恶意软件-研究论文
06-10
在信息技术和互联世界的时代,检测恶意软件已成为个人、公司甚至国家的主要安全问题。 新一代恶意软件样本升级了高级保护机制,例如打包、混淆等令人沮丧的防病毒解决方案。 API 调用分析用于识别可疑的恶意行为,这...
如何通过沙箱技术进行深入的恶意软件分析
图幻未来的博客
01-05 372
**沙箱(Sandbox)** 是一个隔离且受限的执行环境或虚拟系统 ,在其中执行的任何程序都无法访问其他程序的内存空间或者操作系统的底层资源 (如文件系统). 这种特性使得开发人员和安全研究人员能够在不影响目标计算机的情况下研究某些特定任务 或测试潜在的攻击场景 .
漏洞分析 dynamic analysis动态分析是什么
软件工程小施同学 的专栏
03-27 1275
In contrast to static analysis, in dynamic analysis of programs, an analyst need to execute the target program in real systems or emulators (Wikipedia 2017). By monitoring the running states and analyzing the runtime knowledge, dynamic analysis tools can d
virtualbox安装时发生致命错误的解决方法
qq_42572858的博客
04-21 1747
virtualbox安装时发生致命错误的解决方法 右键此电脑——>管理——>服务和应用程序——>服务,找到以下两个服务,启动或重启,然后在virtualbox安装的过程中,如果进度条卡住了,就重启这两个服务。 ...
[当人工智能遇上安全] 14.借助大语言模型GPT-4辅助恶意代码动态分析
杨秀璋的专栏
04-26 960
《当人工智能遇上安全》系列将详细介绍人工智能与安全相关的论文、实践,并分享各种案例。这篇文章将介绍由广东省智能信息处理重点实验室发布的一项研究成果——借助大语言模型GPT-4辅助恶意代码动态分析。基础性文章,希望对您有所帮助!
[当人工智能遇上安全] 5.基于机器学习算法的主机恶意代码识别研究
杨秀璋的专栏
09-27 9019
《当人工智能遇上安全》系列博客将详细介绍人工智能与安全相关的论文、实践,并分享各种案例,涉及恶意代码检测、恶意请求识别、入侵检测、对抗样本等等。前一篇文章普及了基于机器学习的恶意代码检测技术,主要参考郑师兄的视频总结,包括机器学习概述与算法举例、基于机器学习方法的恶意代码检测、机器学习算法在工业界的应用。这篇文章将分享两篇论文,介绍机器学习是如何运用到恶意代码攻击中的,并谈谈自己的理解,后续深入研究尝试分享相关实验,目前还是小白一只。基础性文章,希望对您有所帮助,详见参考文献。
引擎:Droidefense:先进的Android恶意软件分析框架
02-06
对于那些恶意软件具有反分析例程的情况,Droidefense会尝试绕过它们,以获取代码和“坏男孩”例程。 有时,这些技术可以是虚拟机检测,仿真器检测,自证书检查,管道检测。 跟踪器pid检查,等等。 Droidefense使用...
IntelliDroid:适用于Android的目标输入生成器,可提高动态恶意软件分析的效率
05-11
智能机器人IntelliDroid是适用于Android应用程序的分析工具,可提取...应用程式分析“ AppAnalysis”目录包含为Android应用程序生成约束的代码。内容: 目录描述预处理提取和预处理APK文件并将其传递到工具之前的脚本。
MalwareLab_VM-Setup:我的恶意软件分析VM的安装脚本
05-05
剖析Malwa.re实验室虚拟机该存储库包含我用于恶意软件分析软件逆向工程的Windows虚拟机的下载/设置脚本。 如果您正在寻找Linux VM,则应查看或 。目录特征该脚本的目的是下载工具,而不是安装它们。 这让用户可以...
论文研究-像素归一化方法在恶意代码可视分析中的应用.pdf
09-10
实验结果表明采用了像素归一化的降维映射机制能显著地减小文件可视特征的呈现时间开销,且该方法以自动化操作的方式运用Jaccard距离算法进行快速相似度比较,实现了恶意代码样本的有效分类,提高了分析人员的识别...
软件安全恶意代码综合题总结
abtgu的博客
07-02 1230
1. 虚实地址转换(32位) 给出虚拟地址,和寄存器的值,求物理地址。 X86系统上的Windows使用二级页表来把虚拟地址转译为物理地址。默认页面大小为4KB,占12位。
24 内核开发- Linux 内核各种设计模式
jxusthusiwen的专栏
05-15 782
内核使用桥接模式将文件系统抽象与具体的文件系统实现分离开来,如 ext4 和 XFS。实现: 内核使用策略模式来选择不同的内存管理算法,如 Buddy 系统和 SLOB。实现: 文件系统使用观察者模式来通知 inotify 模块文件系统更改。实现: 内核使用责任链模式将系统调用请求传递给一系列内核函数。实现: 内核使用状态模式来管理进程的状态,如运行、等待和停止。实现: 内核使用模板方法模式来实现文件系统操作,如读写文件。实现: 内核使用代理模式来限制对系统调用和文件操作的访问。
Mybatis操作数据库的两种方式:Mapper代理模式
lt_BeiMo的博客
05-12 738
接口定义:userDao 和UserMapper一样的写法不同,用来定义方法接口其可以自己写实现类也可以通过mapper() 方式来操作数据总清单文件:数据库配置子清单文件模板统一原生写法的子清单文件 namespace和增删改查节点信息任意配置mapper写法的子清单 namespace="包名.接口"接口方法名和节点id一致接口方法参数和节点parameterType一样接口的返回值跟节点resultType一样。
设计模式——结构型模式——代理模式(静态代理、动态代理:JDK、CGLIB)
FLJS_T的博客
05-12 905
代理模式属于结构型模式。指一个对象本身不做实际的操作,而是通过其他对象来获取自己想要的结果。产生背景:由于某些原因需要给某对象提供一个代理以控制对该对象的访问。这时,访问对象不适合或者不能直接引用目标对象,代理对象作为访问对象和目标对象之间的中介。意义:目标对象只需要关注自己的实现细节,通过代理来实现功能的增强,可以扩展目标对象的功能。同时体现了非常重要的变成模式,不能随便修改目标对象的源码,如果需要修改目标对象的源码对已有功能进行增强,此时可以通过修改代理的方式实现功能的扩展。
6-10.py
05-15
6-10
基于机器学习的入侵检测系统+源码+说明.zip
最新发布
05-15
基于机器学习的入侵检测系统+源码+说明.zip
elasticsearch-analysis-dynamic-synonym-master.zip
11-04
elasticsearch-analysis-dynamic-synonym-master.zip是一个压缩文件,其中包含用于Elasticsearch的动态同义词分析插件。Elasticsearch是一个开源的分布式搜索引擎,用于快速检索和分析大量数据。 这个插件的作用是允许用户根据需要动态更新和管理同义词,以提高搜索的准确性和覆盖范围。在搜索引擎中,同义词是指具有相似意义的不同词语,如"汽车"和"车辆"。通过使用同义词分析插件,搜索引擎可以将搜索词与同义词匹配,从而拓宽搜索结果的范围。 要使用这个插件,首先需要将压缩文件解压缩到适当的目录中。然后,将插件添加到Elasticsearch的插件目录中,并重新启动Elasticsearch服务。一旦插件安装完成,就可以开始配置和使用动态同义词分析器。 在使用这个插件时,用户可以定义一个同义词文件,其中包含需要用于匹配的同义词对。插件将定期(可以通过设置来调整时间间隔)扫描这个同义词文件,并将其加载到内存中。然后,当用户执行搜索操作时,分析器将根据这些同义词对修改搜索词,并在搜索过程中考虑到它们。 动态同义词分析插件在大型搜索平台和电子商务领域中非常有用。它可以通过改进搜索引擎的召回率和精确度来提供更好的搜索体验。同义词的动态管理也使得系统可以灵活应对新的同义词和词语变化。 总之,elasticsearch-analysis-dynamic-synonym-master.zip是一个用于Elasticsearch的动态同义词分析插件,它可以帮助用户优化搜索结果,提高搜索准确性和广度,并灵活应对同义词和词语变化。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值