恶意脚本检测
文章平均质量分 93
深度剖析恶意脚本检测的进阶之路
罗斯839
这个作者很懒,什么都没留下…
展开
-
论文解读 --- 《针对PowerShell脚本的有效轻量级去混淆和语义感知攻击检测》
一种有效的混淆代码还原方法原创 2024-04-15 23:45:00 · 1472 阅读 · 0 评论 -
解读阿里云《模拟执行在恶意文本检测的最佳实践》
本篇文章来解读下阿里云的技术分享《模拟执行在恶意文本检测的最佳实践》原创 2024-03-01 23:15:00 · 744 阅读 · 0 评论 -
webshell检测方式深度剖析 --- Pixy系列二(数据流分析)
将数据流分析作为主要分析技术的漏洞分析系统常常具有分析速度快、精度良好等特点,因此非常适用于对大规模程序代码进行分析。在使用数据流分析方法对程序继续分析时,我们总是一方面追求精确的分析,另一方面希望分析过程不会耗费大量的空间和时间。怎样在效率和精度上进行折中处理,是自始至终都要考虑的问题。原创 2024-01-02 22:23:28 · 866 阅读 · 0 评论 -
webshell检测方式深度剖析 --- Pixy系列一(格理论)
本文讲述数据流分析中的格理论原创 2022-12-01 16:16:53 · 540 阅读 · 1 评论 -
webshell检测方式深度剖析 --- 行业内的实践方案
行业内对webshell检测的实践方案原创 2022-05-07 22:00:00 · 550 阅读 · 0 评论 -
webshell检测方式深度剖析---RASP(taint扩展)
概述Gartner在2014年提出了应用自我保护技术(RASP)的概念,即将防护引擎嵌入到应用内部,不再依赖外部防护设备。不同于WAF部署在应用的外部边界和依赖于特定规则,RASP把防护系统跑在每一个应用内部,因而可以掌握应用内部所有动作的“上下文”,不管攻击姿势如何变形,只要原理相同,那么都可以被RASP识别并实时阻断。在webshell检测领域也有RASP方案的开源产品,最有名的当属百度开源的OPEN RASP,支持jsp和php的多种攻击类型检测,且能集成到现有的SIEM平台中。但我们今天先不原创 2022-04-17 07:53:14 · 518 阅读 · 0 评论 -
webshell检测方式深度剖析---语法语义检测(选读篇)
目录开篇基于语义分析的检测模型预处理模块污点子树提取模块语义分析模块疑问总结开篇又到了周末,大好时间不能浪费,翻看之前下载的论文,发现有一篇讲述的webshell检测。通读一遍后发现作者的检测思路很新颖,但是看到后边也有些地方看的云里雾里,特写篇文章整理一下作者的思路和我的疑问,作为webshell检测这个系列的补充。本来想着把这些疑问想通之后再把文章发布出来,但在这些问题的泥潭里挣扎一段时间后我发现,我应该是永远想不明白了,因为其中的核心逻辑作者写的实在是太模糊了。其实也可以理解,这篇论文毕竟是发表原创 2020-11-01 17:53:27 · 1134 阅读 · 0 评论 -
webshell检测方式深度剖析---语法语义检测(下)
RIPS源码剖析原创 2022-10-17 21:01:14 · 236 阅读 · 0 评论 -
webshell检测方式深度剖析---语法语义检测(中)
目录概论1 配置1.1 文件扩展名1.2 PVF列表1.3 全局安全函数列表1.4 外部输入列表1.5 关注函数列表1.6 漏洞帮助信息1.7 Token分类列表2 模型构建2.1词法分析和语法分析2.2 模型构建2.3控制流分析3 分析3.1污点分析3.2过程内和过程间分析RIPS的局限性概论RIPS的核心分析器是用php语言写的,检测结果保存为HTML文件,并用javascript写的窗口管理器来展示检测结果。RIPS不需要第三方依赖,只需要一个web服务器和浏览器即可,将检测代码部署到服务器上,原创 2020-10-13 00:08:51 · 527 阅读 · 0 评论 -
webshell检测方式深度剖析---语法语义检测(上)
目录概述web应用安全漏洞的本质基于静态代码分析的检测框架配置模型构建分析污点分析过程内和过程间分析结果处理总结概述语法语义检测本质上属于静态代码分析,鉴于篇幅原因,我们分三讲来进行该部分:第一讲从理论角度,论述基于语法语义的静态分析如何应用在webshell检测上,给出一个通用的检测框架。第二讲从实践角度,讲述RIPS在基于给出的理论框架下的具体实现,实现从理论到实践的落地过程。第三讲从代码角度,分析RIPS的架构设计和核心代码部分,从源码入手,深入分析其核心检测原理。web应用安全漏洞的原创 2020-07-15 23:24:09 · 964 阅读 · 0 评论 -
webshell检测方式深度剖析 ---统计学特征检测
目录概论统计学特征重合指数概论该篇文章讲述了NeoPI如何利用统计学特征来检测webshell,笔者认为NeoPI选择的这些统计学方法在webshell检测上有些鸡肋,没有太大的实用效果。反而其中的各种统计学方法值得学习一下,因此文章会重点讲解这些统计学特征的原理,以求可以举一反三,并应用在其他领域。统计学特征NeoPi使用以下五种统计学特征检测方法,下面分别来分析各种方法的原理和代码实现(代码部分只选择了核心代码并附加了注释,方便大家阅读。):重合指数重合指数法是密码分析学的一种工具,主要原创 2020-07-10 22:31:54 · 1140 阅读 · 0 评论 -
webshell检测方式深度剖析---开篇
从本篇文章开始,笔者计划做一个关于webshell检测方式的小专题。目的在于深入分析当前常见且流行的几类检测方式,介绍其检测原理,展现各种检测方式在检出率和误报率上的优劣势。同时在每类检测方式中,选取一款开源、有代表性的webshell检测工具,对其进行深入的、源码级的剖析,加深对这类检测方式的理解。webshell本身可以以各种语言脚本形式存在,比如php、java、python等,但是尤以php的webshell种类最多,检测难度也最大。因此,本专题以php脚本的webshell为目标对象,后续的原创 2020-06-29 15:35:37 · 1490 阅读 · 0 评论