墨痕诉清风的博客

DRAKVUF Sandbox是一个自动化的黑盒恶意软件分析系统，在引擎盖下有DRAKVUF引擎，它不需要客户操作系统上的代理。该项目为您提供了一个友好的Web界面，允许您上传可疑文件进行分析。一旦沙箱作业完成，您可以通过上述界面探索分析结果，并了解文件是否真正恶意。因为设置恶意软件沙箱通常很难，所以这个项目还为您提供了一个安装程序应用程序，可以指导您完成必要的步骤，并使用推荐给初学者的设置来配置您的系统。同时，有经验的用户可以调整一些设置，甚至更换一些基础设施部件，以更好地满足他们的需求。

守望者实验室基于威胁基础数据和安全分析能力，推出三大分析引擎，包括“URL沙箱、邮件沙箱、DNS沙箱（行为分析）”。系统架构如下图，中间的三大安全能力矩阵，是守望者的核心分析引擎，通过开放式API，便于和第三方相互集成，共建生态。核心思路是“叠加赋能”给现有的设备和系统，有效降低安全成本，提高安全运营效率。本篇主要谈下守望者实验室推出的DNS安全分析引擎。DNS是互联网的“神经系统”，DNS协议具有设备无关性，可以高效的覆盖企业的所有联网设备。思科的数据显示近91.3%的“已知不良”恶意软件被发现使用DN

守望者实验室基于威胁基础数据和安全分析能力，推出三大分析引擎，包括“URL沙箱、邮件沙箱、DNS沙箱（行为分析）”。系统架构如下图，中间的三大安全能力矩阵，是守望者的核心分析引擎，通过开放式API，便于和第三方相互集成，共建生态。核心思路是“叠加赋能”给现有的设备和系统，有效降低安全成本，提高安全运营效率。电子邮件正迅速成为XDR的第四大支柱。Gartner的数据显示78%的网络安全事件中涉及到钓鱼邮件。本篇主要谈下守望者实验室推出的在线 邮件安全分析系统。主要以功能列举为主。对邮件标题、正文、链接、附件

守望者实验室基于威胁基础数据和安全分析能力，推出三大分析引擎，包括“URL沙箱、邮件沙箱、DNS沙箱（行为分析）”。平台应用架构如下图，中间的三大安全能力矩阵，是守望者的核心分析引擎，平台通过开放式API，便于和第三方相互集成，共建生态。核心思路是“叠加”“赋能”给现有的设备和系统，有效降低安全成本，提高安全运营效率。接上一篇《A sandbox for the web：一款在线的“恶意URL分析系统”》，再谈下守望者实验室推出的在线恶意URL分析系统。 系统通过违规信息筛查、异常链接筛查、安全配置分析、威

如何挖掘高隐蔽性攻击的异常线索？笔者一直很认可一个思路，而且也做了实际践行，不过成本相对比较高。该思路就是把目标系统所有的通联IP 、URL、域名、文件、电子邮件、SSL证书都相关通联要素都梳理出来，“先白后黑”的思路进行确认，分析人员确定为白，才能放过，一步步筛选出恶意的线索，线索可能是一个IP，也可能是一个文件或者一个URL。如何确定“黑白灰”，“沙箱”在这里起到很重要的作用，通过沙箱去发现一些靠“特征匹配”无法发现的深层次异常行为。文件分析沙箱、邮件分析沙箱、URL分析沙箱、域名分析沙箱（行为分析）都

安全行业和其他行业一样，性价比还是用户买单的关键决策点。长远来看，能更低成本解决用户的问题的安全方案一定会在竞争中获得优势。安全行业有做设备生产的、有做平台研发的、有做安全服务的、有做安全研究的，大家兼具不同的能力。对用户来说，最喜欢的是“交钥匙”的安全能力交付。不同的能力经过高效的融合解决用户相应的安全问题是根本，也就是行业经常提到的“搭积木”的方式。通过不同的能力组合，解决用户的问题，同时能有效降低成本提成安全效率的方案，最终一定在竞争中获得优势。低成本高效率的解决用户实际问题，这条商业的基本准则依

1.计算Sleep类函数延时时间与实际流逝时间是否匹配可判断环境是否为正常。对沙箱来说，跳过Sleep节约时间成本是有必要的不可省去，但可适当处理GetTickCount类函数，使其与延时时间匹配。2.对于动态解密，打好断点动态分析比静态分析省时间，至少对我这种刚上路的菜狗来说是这样。3.CertEnumSystemStore可作为CertEnumSystemStore替代品用于执行Shellcode。近日，笔者参加了浙江护网，在攻击队停止攻击的那一天凌晨，Windows服务器被攻破大量失分，早晨溯源时拿到

1 DroidBox介绍DroidBox旨在提供对Android应用程序的动态分析。项目地址:Github:Droidbox分析完成后生成的结果中描述了以下信息：所分析软件包的哈希 传入/传出网络数据 文件读写操作 通过DexClassLoader启动服务并加载类 通过网络、文件和短信泄漏的信息 规避的权限 使用Android API执行的加密操作 列出广播接收器 已发送短信和电话此外，还将生成了两个图表以可视化包装的行为。一个显示操作的时间顺序，另一个显示为树图，可用于检查.

Yara规则与C语言语法十分相像, 以下是一个简单的规则, 这个规则没有进行任何操作:rule HelloRule{ condition: false}规则标识符规则标识符是上面简单规则示例中跟在rule后的词, 比如单词"dummy"也可以是一个规则标识符, 标识符命名有如下要求:是由英文字母或数字组成的字符串 可以使用下划线字符 第一个字符不能是数字 对大小写敏感 不能超出128个字符长度Yara关键字下面这些词不能用作规则标识符, 因为这些单词在ya

python的库一般都用pip安装。但是有时候也会出现在线安装失败的情况，如下图安装PIL模块时报错：这时候可以采取离线安装的方式；一、首先下载离线安装包PIL官方版不支持py3,不过有非官方那个的替代品pillow,地址：http://www.lfd.uci.edu/~gohlke/pythonlibs/#pillow注意选择版本：我的python是Python2.7，系统是64位的，但是安装了32位的Python2.7.10选择 Pillow-4.2.1-cp27-none-

使用cuckoo沙箱的过程中不时出现一些错误，网上几乎没有中文的问题帖，解决方法都是在github找到。在此记录一些解决方法。1. Cuckoo沙箱有一本Book，里边提到一些用户问过的问题。文件地址：https://readthedocs.org/projects/cuckoo/downloads/pdf/latest/。2. CuckooCriticalError: Unable to bind ResultServer on 192.168.56.1:2042 [Errno 99] C