恶意样本基础分析技巧

已于 2023-01-10 10:27:54 修改
阅读量659 收藏
点赞数
分类专栏: 【应急响应实战笔记】 【红队攻防秘籍】 文章标签: 网络 javascript python java 编程语言
于 2021-06-24 08:00:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_23936389/article/details/118212565
版权
本文介绍了在遭遇恶意程序入侵时,如何进行基础分析以确定和清除威胁。通过多引擎在线病毒扫描如VirSCAN和VirusTotal,计算文件哈希值,查找字符串,检查加壳情况,分析PE文件头,利用云沙箱如微步云沙箱进行深度分析,以及使用动态行为分析工具火绒剑,来揭示恶意代码的行为和特征。
摘要由CSDN通过智能技术生成

当服务器发生病毒入侵,使用杀毒软件检测到一个恶意程序,你删除了它。但是过了几天又发生了同样的安全事件,很显然恶意程序被没有被清除干净。我们需要知道这个恶意代码到底做了什么,如何进行有效检测,才能进一步消除它带来的影响。

 

本文主要通过几个简单的步骤,分享恶意样本分析的基本方法。

1、多引擎在线病毒扫描

找到了一个恶意样本程序,通过多病毒引擎进行安全扫描,可以帮助你判断文件是否为恶意程序。

VirSCAN:免费多引擎在线病毒扫描1.02版,支持47个杀毒引擎。

https://www.virscan.org/

VirusTotal:一个在线多杀毒引擎扫描的网站,使用70多种防病毒扫描程序进行检测。

https://www.virustotal.com/gui/

2、文件哈希值

文件哈希值是恶意代码的指纹,通过它用来确认文件是否被篡改,也可以通过HASH值查找恶意样本,一般我们也可以使用多种哈希验证文件的唯一性。

了解本专栏 订阅专栏 解锁全文 超级会员免费看
Bypass--
关注
专栏目录
订阅专栏
[系统安全] 五十八.恶意软件分析 (10)利用火绒安全实现恶意样本家族批量标注(含学术探讨)
杨秀璋的专栏
04-26 405
前文介绍了利用MS Defender实现恶意样本家族批量标注。这篇文章将讲解如何利用火绒实现恶意样本家族批量标注,在通过VS、VT采集批量样本后,通常需要样本家族标注,如何准确识别家族类别至关重要,其将为后续的恶意软件家族分类或溯源提供帮助。在此感谢李师弟热心的指导和帮助,基础基础,希望您喜欢,且看且珍惜。
恶意样本分析-Lab16-01 反调试1分析
LoopherBear的博客
05-25 536
恶意样本分析-Lab16-01 反调试1分析 这个样本是随书《恶意代码分析实战》第十六章的样本,主要用来熟悉反调试的一些手段,这个算是样本分析中需要掌握的基础知识。这篇笔记会包含了静态分析和静态分析。基本要求 在分析这个样本之前可以先看一下恶意样本分析–16Windows中一些常用的反调试记录 静态分析 静态分析就不做PE信息的分析,直接走IDA分析,这个过程尽量不走伪代码分析分析汇编指令,便于在x64dbg上分析时快速定位。 由于已经在第九章分析了,因此这里关注到反调试手段。首先来到入口处看到关键指令
一个恶意样本分析
信息安全
08-09 4269
1.1样本信息1.样本概况 病毒名称:bea213f1c932455aee8ff6fde346b1d1960d57ff MD5: 6E4B0A001C493F0FCF8C5E9020958F38 SHA1: BEA213F1C932455AEE8FF6FDE346B1D1960D57FF CRC32: 1CD8074D 1.2测试环境及工具 2.1.1 测试环境 Windows ...
恶意样本分析报告
sxr__nc的博客
03-20 621
分析报告 样本信息 文件大小 MD5 文件名称 72.07KB 44BCF2DD262F12222ADEAB6F59B2975B ab.exe 样本功能分析: 通过shellcode编写进行免杀,实现干扰分析人员进度: 通过多重跳转实现类似垃圾指令的功能,干扰分析人员,获取当前文件执行镜像名称与硬编码的数据进行对比,也是一种防止分析的手段(校验运行的进程名与预设的进程名是否相同) 对文件名称进行校验: 根据算法比较获取目标DLL文件 DLL算法(有可能是UNICODE,也有可能是AN
GO恶意样本实例分析
zhangge3663的博客
01-15 757
最近在工作中遇到不少的go语言编写的恶意样本,也整理了在分析go恶意样本的一些基础知识,各位同学可以先看看这篇文章《GO恶意样本分析》,对go语言的分析基础有一定了解。 在平常的工作中遇到的情况来看,go语言的恶意样本可以分为如下的三个等级以及对应的等级的说明。 非常简单: 未去除符号以及未混淆的恶意软件。 一般简单: 去除符号的恶意软件。 困难:混淆的恶意软件。 我找了几个对应的样本,大家可以一起学习学习。 未去除符号以及未混淆的的恶意软件   WellMesss是疑似具有俄罗斯...
Joao恶意样本技术分析与防护方案
zzkk_的博客
08-25 1063
昨日,ESET的安全研究员发现了一个针对游戏玩家的恶意软件。这个名为“Joao”的恶意软件被发现潜伏在第三方的Aeria游戏下载安装包中。该恶意软件会在游戏启动后自行在后台运行并且发送受害者机器的信息给攻击者,包括操作系统,用户名以及该用户的权限信息,与此同时玩家仍然可以正常进行游戏。该恶意软件会继续在受感染用户的机器上安装其他恶意软件。 相关链接: http://www.hackre
恶意样本分析流程记录
weixin_42877778的博客
01-15 3109
拿到一个恶意样本,要先对其进行静态分析了解其基本函数,推测它的功能,然后再进行动态分析测试样本执行,学习《恶意样本分析实战》并在此记录对于一个恶意样本应该进行的流程分析。 反病毒引擎扫描 在拿到一个恶意样本时可以先使用多个反病毒软件扫描这个文件, ...
如何分析各种类型的恶意样本之--C#类型样本分析
hskull的博客
01-02 989
文章目录概述详细分析样本自身功能分析dump到的dll分析恶意代码分析熟悉的C++程序分析IOCsIOCs 转载我自己的博客hskull.cn,欢迎进入来我的博客家园做客。 ​日常样本分析中,我们会遇到各式各样的语言所编写的恶意样本。除了最基础的C/C++之外,使用C#、python、VBScript、Office宏、PowerShell来构造恶意代码也较为常见。 ​为了让新入门者对各种类型样本的代码结构和分析流程都进行一次了解,我构思了如下系列文章《如何分析各种类型的恶意样本》来进行讲解,希望可以帮到大
[系统安全] 五十七.恶意软件分析 (9)利用MS Defender实现恶意样本家族批量标注(含学术探讨)
最新发布
杨秀璋的专栏
04-18 462
前文介绍了IDA Python配置过程和基础用法,然后尝试提取恶意软件的控制流图(CFG)。这篇文章将讲解如何利用MS Defender实现恶意样本家族批量标注,在通过VS、VT采集批量样本后,通常需要样本家族标注,如何准确识别家族类别至关重要,其将为后续的恶意软件家族分类或溯源提供帮助。在此感谢李师弟热心的指导和帮助,基础基础,希望您喜欢,且看且珍惜。
恶意代码分析实战》官方实验样本
01-13
学习恶意代码分析,从官方下载的《恶意代码分析实战》课后实验样本
恶意软件样本行为分析
weixin_49816179的博客
12-17 138
本文介绍了恶意样本行为分析方式,包括:1) 熟悉 Process Moniter 的使用;2) 熟悉抓包工具 Wireshark 的使用;3) VMware 的熟悉和使用;4) 灰鸽子木马的行为分析
恶意软件样本行为分析——Process Monitor和Wireshark_process monitor抓包(1)
2401_83621541的博客
04-14 764
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
新变种Emotet恶意样本分析
PwnGuo的博客
12-08 1004
样本信息 表1.1 样本信息表 文件 大小 190976 字节 修改时间 2021年12月2日, 10:30:02 MD5 2EFBE18F2ED8AE0D4648B68596DFA00C SHA1 0954D1E4BC63EB075703FB3D40B5CDB06F57E61E CRC32 8969E72E ...
简单的恶意样本行文分析-入门篇
weixin_48421613的博客
06-21 1203
开篇引题,此篇文章为入门入门文章,里面的内容为后续软件安全分析铺垫,有点东西,但是不多,所以大家觉得有用就看一眼,觉得无用就不看哈,别喷;此类应用场景呢,其实就是恶意样本行为分析、在遇到后门、应急响应后将恶意样本拷贝走之后去做一个初步的排查,能发现样本做了些什么,他有哪些功能等等...
利用AI+大数据的方式分析恶意样本(四十三)
至臻求学,胸怀云月
05-03 1435
一篇USENIX 2023关于人类与ML分析malware差别的文章阅读
利用AI+大数据的方式分析恶意样本(二十七)
至臻求学,胸怀云月
07-11 2335
NDSS2021一篇挖矿二进制检测的文章阅读
利用AI+大数据的方式分析恶意样本(三十九)
至臻求学,胸怀云月
01-18 4860
一篇USENIX2022 关于机器学习用于安全场景的十大缺陷文章阅读
恶意样本分析手册——理论篇
iopoint的专栏
07-27 731
0x00写在最前面 开场白:快报快报!今天是2017 Pwn2Own黑客大赛的第一天,长亭安全研究实验室在比赛中攻破Linux操作系统和Safari浏览器(突破沙箱且拿到系统最高权限),积分14分,在11支队伍中暂居 Master of Pwn 第一名。作为热爱技术乐于分享的技术团队,我们开办了这个专栏,传播普及计算机安全的“黑魔法”,也会不时披露长亭安全实验室的最新研究成果。 安全领域博大精深,很多童鞋都感兴趣却苦于难以入门,不要紧,我们会从最基础的内容开始,循序渐进地讲给大家。技术长路漫漫,我们携.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Bypass--

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值