【恶意代码与软件安全分析】(三)dynamic analysis

最新推荐文章于 2024-08-27 13:55:27 发布
最新推荐文章于 2024-08-27 13:55:27 发布
阅读量263 收藏 1
点赞数
分类专栏: 恶意软件 文章标签: 系统安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cwllll/article/details/124393283
版权

【恶意代码与软件安全分析】(三)

virtualbox崩掉了,只能跳过第二章先做第三章了。。。😭

动态分析

在一个安全的环境下运行恶意软件并观察其行为

分析后输出内容
  • process & Service Behavior
    • 进程创建
    • 进程终止
    • 进程数
  • network behavior
    • DNS解析:域名和关联的IP
    • 流量
      • TCP、UDP、ICMP
      • C2、Scan、DDoS
  • file behavior
  • registry behavior
  • mutex behavior

分析方法

在这里用的是sandbox,俗称沙盒。沙盒技术是发现可疑行为后让程序继续运行,当发现的确是病毒时才会终止。

沙盒技术的实践运用流程是:让疑似病毒文件的可疑行为在虚拟的“沙盒”里充分表演,“沙盒”会记下它的每一个动作;当疑似病毒充分暴露了其病毒属性后,“沙盒”就会执行“回滚”机制:将病毒的痕迹和动作抹去,恢复系统到正常状态。

沙盒可以大致分为两种,一种是Cloud Sandbox,另一种是local Sandbox。

Cloud Sandbox

  • www.virustotal.com
    • 安全、快捷
    • 多种沙盒,多种操作系统支持
    • 方式:使用哈希值搜查或者使用文件搜查

local Sandbox

  • cuckoo
    • 远程控制、监控恶意软件的行为
    • 多种输出
静态与动态分析的陷阱

  • 恶意软件可以检测到沙盒

  • 恶意软件可能不能在沙盒中运行

    • 缺少正确的配置文件

    • 缺乏网络交流

    • DLL vs EXE

  • 恶意软件可能在沙盒中运行得很慢

    • 需要沙盒重启
    • 需要沙盒观测很长时间去捕获行为

【实验练习】

登录网站 https://www.virustotal.com ,就能看到它提供三种方式进行检测。于是我们选择将文件上传。
在这里插入图片描述
之后我们可以看到一个初步的分析输出内容,但其实这样的分析比较简略,得不到太多的信息。因此,我们再利用文件名的hash值作为输出再次分析。
在这里插入图片描述
然后就得到了一个比较好的查询结果。

behavior behavior

在这里插入图片描述

registry behavior

在这里插入图片描述

process behavior

包括进程的创建、进程数树等。在这里插入图片描述

mutex

在这里插入图片描述

network behavior

相关联的域名和IP
在这里插入图片描述

实验总结

可以看的出来,sanbox的功能确实很强大,可以对恶意程序进行比较透彻的分析。不过感觉对于www.virustotal.com 的使用技巧还是不太明白和熟练。(到底是要上传文件呢,还是使用文件的hash值呢?而且文件的hash好像可能会不一样?)

麻吉叽
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
软件安全恶意代码综合题总结
abtgu的博客
07-02 1286
1. 虚实地址转换(32位) 给出虚拟地址,和寄存器的值,求物理地址。 X86系统上的Windows使用二级页表来把虚拟地址转译为物理地址。默认页面大小为4KB,占12位。
漏洞分析 dynamic analysis动态分析是什么
软件工程小施同学 的专栏
03-27 1318
In contrast to static analysis, in dynamic analysis of programs, an analyst need to execute the target program in real systems or emulators (Wikipedia 2017). By monitoring the running states and analyzing the runtime knowledge, dynamic analysis tools can d
软件构造 8.2 Dynamic Program Analysis Methods and Tools
Goerwa的博客
06-24 335
1.动态程序分析动态程序分析:根据程序一次或多次执行的结果和结果,分析代码在时空性能方面所展现出的性质。静态分析使用抽象的输入值;动态分析使用具体的输入值。为使动态分析有效,目标程序必须执行足够多次,以观察到完整的、不同的执行行为;通过代码覆盖度,确认动态分析是否已经足够;要尽可能小的影响程序原本的执行,否则性能测量不准确。80-20规则:20%的程序负责80%的执行时间。2.分析方法分析方法有:...
恶意代码软件安全分析】(六)
cwllll的博客
05-08 1402
恶意代码软件安全分析】(六) 因为虚拟机崩溃的原因停了很多周,折腾了好久后直接使用VMware,情况就好起来了。然后就赶上了任务量特别多的几周,昨天刚打完比赛回来就开会加实验,每个周末都是爆肝,呜呜。 【本章内容】Visualization of Malware Detection 这一章的内容几乎都在于对数据样本的可视化处理,相对来说东西比较多,但还是比较简单的。 (一)Matplotlib模块——plot()函数 参考matplotlib散点图自定义和plot函数参数列表 plot 函数位于
如何通过沙箱技术进行深入的恶意软件分析
图幻未来的博客
01-05 463
**沙箱(Sandbox)** 是一个隔离且受限的执行环境或虚拟系统 ,在其中执行的任何程序都无法访问其他程序的内存空间或者操作系统的底层资源 (如文件系统). 这种特性使得开发人员和安全研究人员能够在不影响目标计算机的情况下研究某些特定任务 或测试潜在的攻击场景 .
[当人工智能遇上安全] 14.借助大语言模型GPT-4辅助恶意代码动态分析
杨秀璋的专栏
04-26 1313
《当人工智能遇上安全》系列将详细介绍人工智能与安全相关的论文、实践,并分享各种案例。这篇文章将介绍由广东省智能信息处理重点实验室发布的一项研究成果——借助大语言模型GPT-4辅助恶意代码动态分析。基础性文章,希望对您有所帮助!
动态分析法(Dynamic Analysis
weixin_43156294的博客
06-16 629
动态分析法(Dynamic Analysis)是一种在工程、经济学、物理学等领域广泛应用的分析方法。它主要用于研究系统在时间变化过程中的行为和性能。强调考虑时间因素对研究对象的影响。通过跟踪和监测变量在不同时间点的数值、状态或趋势,来深入了解其动态行为。
Android-Malware-Analysis_2013:2013 年进行了 Android 恶意软件分析分析了 30 个 Android 恶意软件。 #Dynamic 分析 #CodeReview #LogCat #NetworkTraffic #IP-lookup #Data Compromised
06-21
在本项目"Android-Malware-Analysis_2013"中,研究者对2013年出现的30个Android恶意软件样本进行了深入分析,涵盖了动态分析、代码审查、LogCat日志检查、网络流量监控、IP查找以及数据泄露等多个关键环节。...
恶意代码分析与防治
The_Green_Hand的博客
12-14 1778
目 录 摘 要 1 关键词 1 Abstract 1 Key words 1 一、恶意代码概述 1 (一)认识恶意代码 1 (二)恶意代码分类 2 二、恶意代码分析技术 3 (一)静态分析方法 3 (二)动态分析方法 4 (恶意代码分析流程 4 (四)恶意代码分析实例一 5 (五)恶意代码分析实例二 8 恶意代码的防治 10 (一)使用优质的杀毒软件 11 (二)安装正版的应用程序 1...
恶意代码变种识别系统的技术研究
04-24
该系统的核心在于利用动态污点分析Dynamic Taint Analysis)和触发条件处理引擎对恶意代码进行细粒度的行为分析,从而提取出能够表征恶意代码本质行为的特征。这些特征不受混淆技术的影响,因此能够有效地识别出...
论文研究-像素归一化方法在恶意代码可视分析中的应用.pdf
09-10
实验结果表明采用了像素归一化的降维映射机制能显著地减小文件可视特征的呈现时间开销,且该方法以自动化操作的方式运用Jaccard距离算法进行快速相似度比较,实现了恶意代码样本的有效分类,提高了分析人员的识别...
[网络安全自学篇] 十.论文之基于机器学习算法的主机恶意代码
热门推荐
杨秀璋的专栏
09-15 1万+
这是作者的系列网络安全自学教程,主要是关于网安工具和实践操作的在线笔记,特分享出来与博友共勉,希望您们喜欢,一起进步。本篇文章,作者将分享两篇论文,机器学习是如何运用到恶意代码攻击中的,并谈谈自己的理解,后续深入研究尝试分享相关实验,目前还是小白一只。基础性文章,希望对初学者有帮助,大神请飘过,谢谢各位看官!
virtualbox安装时发生致命错误的解决方法
qq_42572858的博客
04-21 1878
virtualbox安装时发生致命错误的解决方法 右键此电脑——>管理——>服务和应用程序——>服务,找到以下两个服务,启动或重启,然后在virtualbox安装的过程中,如果进度条卡住了,就重启这两个服务。 ...
安全编码新趋势:替代反射API的安全设计模式
sa10027的博客
08-27 424
安全编码的新趋势中,替代反射API(Reflection API)的安全设计模式是一个重要的方面。反射API虽然提供了运行时动态访问和操作对象的能力,但也带来了显著的安全风险,如代码注入攻击。因此,探索并应用更安全的设计模式来替代或限制反射API的使用,成为了当前安全编码的一个重要方向。
时序预测-基于自回归滑动平均模型时间序列ARIMA预测Matlab程序 点变量
最新发布
08-30
时序预测|基于自回归滑动平均模型时间序列ARIMA预测Matlab程序 点变量 1.程序功能已完成调试,用户可以通过一键操作生成图形和评价指标。 2.数据输入以Excel格式保存,只需更换文件,即可运行以获得个人化的实验结果。 3.代码中包含详细注释,具有较强的可读性,特别适合初学者和新手。 4.在实际数据集上的效果可能较差,需要对模型参数进行微调。 CSDN:机器不会学习CL 时序预测|基于自回归滑动平均模型时间序列ARIMA预测Matlab程序 点变量 1.程序功能已完成调试,用户可以通过一键操作生成图形和评价指标。 2.数据输入以Excel格式保存,只需更换文件,即可运行以获得个人化的实验结果。 3.代码中包含详细注释,具有较强的可读性,特别适合初学者和新手。 4.在实际数据集上的效果可能较差,需要对模型参数进行微调。 CSDN:机器不会学习CL
基于微信小程序的考研资料分享系统的设计与实现.docx
08-30
基于微信小程序的考研资料分享系统的设计与实现.docx
豆瓣读书书评爬虫软件,使用方便快捷
08-30
豆瓣读书书评爬虫软件将辅助你爬取你感兴趣的书目短评,交互简单,你可以轻松的获取目标书目的指定页数的内容,你可以非常方便地使用该资源即可爬取对应书目的短评内容,可以爬取指定页数的信息,也可以将内容保存到数据库sqlite中,当然也会保存为文本文件,每条评论独占一行,如果后续你要做评论的文本情感分析也会特别方便,如若不会使用,详细使用方式可以看我写的一篇文章,链接在此处,点击可跳转:https://blog.csdn.net/weixin_45938063/article/details/141500999spm=1001.2014.3001.5501 ,该资源收取1积分即可下载,欢迎支持下载,您的支持是我创作的动力
XX市XX区市场局数据治理方案文档
08-30
基于企业监管、食品安全、药品安全、知识产权、特种设备监管等多维数据,通过协同各类数据资源,进行数据汇集、治理,构建支撑XX市XX区市场监管数字化平台的标准化数据库,促进XX市XX区市场监管体系的放管服改革工作,逐步实现XX市XX区全方位、全覆盖、全领域、全过程的一体化数智监管体系。
Redis源代码分析:数据结构与服务器模型
"Redis源代码分析文档,主要涵盖了Redis的基础数据结构、服务器模型、虚拟内存机制、备份策略以及主从同步的细节。文档作者为胡戊和邹雨晗,初次提交时间为2011年6月17日。" 在Redis源代码分析中,我们首先了解到...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值