Windows恶意软件分析-基于感染主机的特征

最新推荐文章于 2023-05-30 18:19:00 发布
VIP文章 最新推荐文章于 2023-05-30 18:19:00 发布
阅读量492 收藏 1
点赞数
分类专栏: 病毒分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/loopherbear/article/details/106051195
版权

基于感染主机的特征

Windows 文件系统

利用ProcMonitor检测 opertion->CreatFile \ReadFile

常用的函数包括:

CreateFile 打开或者创建一个文件,根据dwCreationDisposition标记来确定创建文件还是打开文件

ReadFile 读取文件内容

WriteFile 写内容到文件

CreateFileMapping 将一个文件映射到内存中

MapViewOfFile获通过CreateFileMapping函数映射的文件指针

通常有这些函数调用,可能会存在缓存文件或者创建配置文件等行文,可以作为主要的特征判断。

网络Api

命名规则:伯克利兼容套接字

socket

ws2_32.dll 主要包括了socket通信的api socket connect bind listen accept send recv

http

📴wininet.dll是http,ftp协议的库,包括了

InternetOpen 初始化一个互联网的连接

InternetOpenUrl 放一个url地址

InternetReadFile从网络下载文件到本地

断点tric

最低0.47元/天 解锁文章
LoopherBear
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
论文研究-基于主机行为特征恶意软件检测方法.pdf
07-22
该模型通过持续性分析算法,判断主机与外部特定目标的通信行为是否具有周期性或连续性,提取出可疑的网络行为,并根据网络行为的触发、启动等异常检测规则对这些可疑的网络行为进行分析,判断主机是否感染恶意软件。...
Ramnit病毒简介
热门推荐
si1ence的博客
01-11 1万+
0x0 背景 1、Ramnit 病毒的网页传播方式 在被植入了 Ramnit 病毒的主机中,病毒会感染主机中的 .html 或 .htm 后缀的网页,在 .html 或 .htm 文件中添加如下的 vbs 攻击代码: 当使用低版本或安全策略配置不当的 IE 浏览器访问被 Ramnit 感染的 html 网页时,感染 html 网页的 vbs 攻击代码将被执行,创建并运行 Ramnit 病毒。继而 Ramnit 病毒会感染访问者本地计算机的 html 文件,从而形成蠕虫的自动...
解决virus:win32/ramnit.a病毒
最新发布
m0_52980547的博客
05-30 1915
现在导航到C:C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service。在这里,通过在键盘上按下 Shift + Del来删除DetectionHistory文件夹。转到顶部的"查看"选项卡并勾选"隐藏项"选项。按下win+E打开文件资源管理器。
Buildozer构架安卓应用
flippedd的博客
11-05 3634
Buildozer构架安卓应用 目录 虚拟机相关配置: buildozer 0.39安装 用Xubuntu18.04建立打包环境的过程以及错误 TIPS 附录 1、虚拟机相关配置: 1.1工具准备: 虚拟机:Oracle VM VirtualBox /VMware 如果再使用过程遇到错误: 错误提示:VERR-SUPDRV_HARDENING_EVIL_HANDLE(...
RegSetValueEx()一点备注
firesnake666的专栏
03-16 589
lRet = RegSetValueEx(hKey, MC_QS_BUBBLE_REG_QS_SHAREDESKTOP, NULL, REG_DWORD, (BYTE*)0x100, 4);上面这个写法不对,虽然编译时不会报错,但是不会执行成功的,改成下面的.   DWORD dwValue=0x100;   lRet = RegSetValueEx(hKey, MC_QS_BUBBLE_
基于特征码的恶意软件检测实验
04-05
基于特征码的恶意软件检测实验
FakeNet:Windows网络仿真工具,用于恶意软件分析-开源
05-13
FakeNet是Windows网络仿真工具,专门用于恶意软件分析。 它会将离开计算机的所有流量重定向到本地主机(包括硬编码的IP流量和DNS流量),并实现多种协议以确保恶意代码继续执行并可由分析人员观察到。 该工具支持DNS...
论文研究-基于行为分析特征码的恶意代码检测技术.pdf
07-22
运行在主机的代理利用特征码识别恶意代码并阻断运行。为了精确分析程序行为,将程序放入虚拟机运行。实验结果表明,相对于朴素贝叶斯和决策树,系统误报率和漏报率均较低,同时分布式的系统架构加快了遏制速度。
基于静态多特征融合的恶意软件分类方法
01-20
基于大规模恶意样本,设计了一种安全、高效的恶意软件分类的方法,通过提取可执行文件字节视图、汇编视图、PE 视图3个方面的静态特征,并利用特征融合和分类器集成学习2种方式,提高模型的泛化能力,实现了特征与...
Virus.Win32.Ramnit.X专杀工具
07-09
Virus.Win32.Ramnit.X,Virus.Win32.Ramnit.a,Virus.Win32.Ramnit.b病毒专杀工具。
访问win7中vmware7中NAT方式上网的server的iis服务
weixin_33845881的博客
12-21 86
我这里使用的环境:主操作系统:windows7x64U虚拟机:VMware7.0WorkstationVMware中的服务器:Windows2003SP2(IIS6,Sql2005)网络连接方式:NAT公司中一般一台主机只分配一个IP地址,如果使用桥接的话就要多占用一个IP地址资源,造成管理上的麻烦。虽然可能会有另一台主机做为测试服务器,但在某些时候可能会需要上面的情况,简单说一下解决方法。首先设...
Ramnit蠕虫
swordheart的博客
01-23 5943
Ramnit蠕虫 1、病毒简介 Ramnit 是一个典型的VBScript蠕虫病毒,能够通过网页挂马的方式进行传播,用户在浏览器中浏览挂载该恶意代码的HTML页面后并点击加载ActiveX控件后主机就有可能受到恶意代码的感染 2、病毒危害 Ramnit病毒可以监控网络访问活动等,可能导致网上银行交易等信息的泄露或盗取;该病毒还可以扫描和浏览服务器中的文件系统,获取敏感的文件信息;此外该病毒通过控制某台计算机可以作为攻击者的跳板对整个内部网络造成危害。 3、终端验证 1、文件 在被植入了
恶意代码分析-第七章-分析恶意Windows程序
每昔的博客
08-01 3625
目录 笔记: 实验: Lab 7-1 Lab 7-2 Lab 7-3 笔记: Windows API:管理恶意代码与微软程序库之间的交互方式 常用API类型: 类型 前缀 描述 WORD w 一个16位的无符号数值 DWORD ...
分析恶意Windows程序
Hvnt3r的博客
03-24 936
知识点 多数恶意代码运行在Windows上,因此对Windows变成概念的深刻理解会帮助我们识别出恶意代码在主机感染的迹象,本章会介绍一些恶意代码使用Windows功能的独特方式,并且会讨论恶意代码是如何使用内核模式来实现额外功能与自身隐藏的。 **Windows API:**Windows API是一个广泛的功能集合,管理着恶意代码与微软程序库之间的交互方式,Windows API使用他自己...
1.恶意软件中的防双开
weixin_30872157的博客
03-11 190
目录 1.防双开代码(互斥体、绑定端口检测) 2.逆向分析 3.号外 4.参考 防双开代码 还是看到别人的文章才知道防双开这个词,防双开是指一个程序在运行后会禁止重复运行。在生活中用到的一些软件也会使用了这个功能,毕竟一个应用程序被重复运行后,其中的行为是相同的,但是这种相同的行为可能会产生冲突而导致程序崩溃。程序在防多开时可能用到的方法有:1.使用FindWindow APi函...
若发现计算机感染了恶意代码,计算机感染恶意软件几种常见症状
weixin_31935149的博客
07-25 1395
原标题:计算机感染恶意软件几种常见症状我们在使用计算机设备就会出现一些问题,在点击网页一直在刷新,根本不会出现你想要搜索的页面内容,终于你受不了了,重启电脑,然而这一问题没有得到解决,还是出现之前这样的问题。这是你会发现自己的网络数据很慢,程序一直出现加载的状态,到后面很可能会导致电脑直接死机,出现这一系列问题很可能是因为电脑感染恶意软件导致的。恶意软件主要是指某些共享或者免费软件在未经用户允许...
使用x64dbg调试dll程序
LoopherBear的博客
05-26 6709
使用x64dbg调试dll程序 这篇笔记是根据Lab16使用x64dbg调试带参数程序新增加的,记录了如何调试一个dll文件。 在很多时候一些程序会将核心功能放在dll文件内来完成,这样避免程序被查杀或者被逆向分析,主要手段是通过LoadLibrayA函数来加载一个dll文件,同时这个dll的DllMain函数会被调用以此来达到执行dll的程序。 在Windows上要独立执行一个dll程序,那么需要用到rundl32.exe来完成,因此可以借助这个程序来达到调试dll的目的。 分析dll程序的启动方式 这个
基于机器学习的恶意软件检测-GUI系统 完整代码数据
05-18
建议您参考相关的机器学习、恶意软件检测和GUI开发的教程和资料,或者参考相关的开源项目,逐步学习和实践。 以下是一个简单的Python代码示例,用于使用机器学习算法检测恶意软件: ```python import pandas as pd...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值