利用python分析恶意代码pdf_利用Python开源工具分析恶意代码

最新推荐文章于 2022-06-02 13:15:39 发布
最新推荐文章于 2022-06-02 13:15:39 发布
阅读量710 收藏 4
点赞数
文章标签: 利用python分析恶意代码pdf

1 开源软件与Python环境1

1.1 关于开源软件2

如果管理人员熟悉开源软件2

1.2 Python简介3

1.3 搭建Python环境与程序发布3

1.3.1 在Windows下搭建Python环境3

1.3.2 使用Eclipse与PyDev搭建Python开发环境7

1.3.3 使用pyinstaller发布程序12

1.4 从Github站点下载开源工具15

1.5 安装Python模块17

1.6 小结19

2 通过peframe学习PE文件结构20

2.1 PE文件结构21

2.1.1 DOS Header结构体23

2.1.2 DOS Stub Program26

2.1.3 IMAGE_NT_HEADER结构体26

2.2 分析peframe工具28

2.2.1 IMPORT模块29

2.2.2 预处理部分30

2.2.3 分析main函数35

2.2.4 peframe中的函数40

2.3 恶意代码的特征因子136

2.3.1 杀毒结果136

2.3.2 散列值137

2.3.3 加壳器138

2.3.4 节区名与熵139

2.3.5 API141

2.3.6 字符串143

2.3.7 PE元数据144

2.4 小结145

3 恶意代码分析服务146

3.1 恶意代码分析环境147

3.1.1 自动分析服务种类147

3.1.2 恶意代码分析Live CD介绍148

3.1.3 收集恶意代码151

3.2 线上分析服务166

3.2.1 VirusTotal服务166

3.2.2 应用VirusTotal服务API173

3.2.3 使用URLquery查看感染恶意代码的网站188

3.2.4 使用hybrid-analysis分析恶意代码190

3.3 小结192

4 使用Cuckoo Sandbox193

4.1 Cuckoo Sandbox定义195

4.2 Cuckoo Sandbox特征196

4.3 安装Cuckoo Sandbox197

4.3.1 安装Ubuntu 14.04 LTS199

4.3.2 安装VMware Tools203

4.3.3 镜像站点205

4.3.4 安装辅助包与库206

4.3.5 安装必需包与库207

4.3.6 设置tcpdump213

4.4 安装沙箱214

4.4.1 安装沙箱214

4.4.2 安装增强功能218

4.4.3 安装Python与Python-PIL219

4.4.4 关闭防火墙与自动更新220

4.4.5 网络设置221

4.4.6 设置附加环境223

4.4.7 安装Agent.py224

4.4.8 生成虚拟机备份228

4.4.9 通过复制添加沙箱229

4.5 设置Cuckoo Sandbox232

4.5.1 设置cuckoo.conf232

4.5.2 设置processing.conf236

4.5.3 设置reporting.conf238

4.5.4 设置virtualbox.conf239

4.5.5 设置auxiliary.conf242

4.5.6 设置memory.conf243

4.6 运行Cuckoo Sandbox引擎247

4.6.1 Community.py248

4.6.2 使用最新Web界面250

4.6.3 上传分析文件252

4.6.4 调试模式255

4.6.5 使用经典Web界面256

4.7 Cuckoo Sandbox报告257

4.7.1 JSONdump报告257

4.7.2 HTML报告258

4.7.3 MMDef报告259

4.7.4 MAEC报告260

4.8 Api.py分析262

4.8.1 POST-/tasks/create/file263

4.8.2 POST-/tasks/create/url264

4.8.3 GET- /tasks/list264

4.8.4 GET-/tasks/view266

4.8.5 GET- /tasks/delete267

4.8.6 GET-/tasks/report267

4.8.7 GET-/tasks/screenshots269

4.8.8 GET-/files/view269

4.8.9 GET-/files/get270

4.8.10 GET-/pcap/get270

4.8.11 GET-/machine/list270

4.8.12 GET-/machines/view272

4.8.13 GET-/cuckoo/status272

4.9 Cuckoo Sandbox实用工具273

4.9.1 clean.sh273

4.9.2 process.py274

4.9.3 stats.py274

4.9.4 submit.py275

4.10 分析结果275

4.10.1 Quick Overview276

4.10.2 Static Analysis279

4.10.3 Behavioral Analysis280

4.10.4 Network Analysis281

4.10.5 Dropped Files282

4.11 使用Volatility的内存分析结果282

4.11.1 Process List283

4.11.2 Services284

4.11.3 Kernel Modules285

4.11.4 Device Tree285

4.11.5 Code Injection286

4.11.6 Timers286

4.11.7 Messagehooks287

4.11.8 API Hooks287

4.11.9 Callbacks288

4.11.10 Yarascan288

4.11.11 SSDT288

4.11.12 IDT289

4.11.13 GDT289

4.12 Admin功能290

4.13 比较功能290

4.14 小结292

5 恶意代码详细分析293

5.1 查看Cuckoo Sandbox分析结果294

5.2 线上分析报告295

5.3 手动详细分析296

5.4 小结323

6 其他分析工具324

6.1 使用viper分析与管理二进制文件325

6.1.1 安装viper325

6.1.2 使用viper326

6.1.3 viper命令327

6.1.4 模块337

6.2 使用ClamAV对恶意代码分类354

6.3 使用pyew管理与分析恶意代码363

6.3.1 查看帮助365

6.3.2 查看导入表368

6.3.3 在VirusTotal中检测文件370

6.3.4 查看URL信息371

6.3.5 检测PDF文件373

6.4 使用pescanner检测恶意代码379

6.4.1 使用Yara签名进行检测381

6.4.2 检测可疑API函数383

6.4.3 查看熵值385

6.5 使用PEStudio分析可疑文件385

6.6 分析网络包388

6.6.1 使用captipper分析网络包388

6.6.2 使用pcap-analyzer分析网络包390

6.6.3 使用net-creds获取重要信息393

6.7 使用各种开源工具分析恶意代码文件395

6.8 使用Docker容器402

6.8.1 Docker定义402

6.8.2 关于Docker Hub403

6.8.3 使用REMnux Docker镜像405

6.9 小结408

7 利用内存分析应对入侵事故409

7.1 Volatility简介与环境搭建410

参考社区(维基页面)415

7.2 使用Volatility分析恶意代码416

7.3 开源工具:TotalRecall424

7.4 使用Redline分析内存433

7.5 Volatility插件使用与推荐441

7.6 使用Rekall进行内存取证分析445

7.7 使用VolDiff比较内存分析结果462

7.8 使用DAMM比较内存分析结果471

7.9 恶意代码内存分析示例474

7.10 通过攻击模拟了解内存转储用法477

7.11 小结482

weixin_39555320
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PC恶意软件检测python代码
06-03
Malware is one of the most serious security threats on the Internet today. Unfortunately, the number of new malware samples has explosively increased: anti-malware vendors are now confronted with millions of potential malware samples per year. Consequently, many studies have been reported on using data mining and machine learning techniques to develop intelligent malware detection systems. Lots of works use different feature and different data set to train a classification model. Although they show a high percent of accuracy on their own test data, most of model become rapidly antiquated as malware continues to evolve. When using the obfuscation techniques or polymorphism techniques, they can not work very well. In this work, we propose a effective malware detection approach using data-mining techniques based on opcode, data structure and the imported libraries. We also use different classifiers and conduct some experiments to evaluate our approach. In addition, we provide empirical validation that our method is capable of detecting new unknown malware, also fresh malware collected in 2017. In addition, we use obfuscation on malware to test our model.
利用开源工具分析新型PowerPoint恶意文档
weixin_33736048的博客
09-18 353
本文讲的是利用开源工具分析新型PowerPoint恶意文档,最新新出现了一个新型的恶意MS Office文档:通过将鼠标光标悬停在链接上来执行PowerShell命令的PowerPoint文档,此攻击不涉及VBA宏。在本博客中,我们将展示如何使用免费的开源工具分析这些文档。像往常一样,该恶意MS Office文件通过电子邮件发送给受害者。 分析 使用e...
恶意代码分析
12-14
恶意代码分析,防治,恶意代码分析与防治。
基于深度学习的恶意软件检测Python代码及数据
毕业作品网站
06-02 3976
深度神经网络可以有效地挖掘原始数据中的潜在特征,而无需大量数据预处理和先验经验。神经网络在计算机视觉、语音识别和自然语言处理方面取得了一系列的成功,当
python 编写简单恶意软件扫描程序
网络技术联盟站
04-05 1399
通过哈希比较非常基本的恶意软件扫描程序 有时在事件响应时可能需要这样做。 如果您在响应时发现了新文件或可疑文件,则需要检查这些文件在系统中的位置,那么你可能需要这样的工具,这是一个演示版本。不完整。您必须更改和修改代码并使其成为您的。 # pip install requests # python main.py 用法 # python .\main.py ▌║█║▌│║▌│║▌║▌█║ Simple Basic Malware Scanner ▌│║▌║▌│║║▌█║▌║█ us.
Python项目开发实战_恶意代码删除_编程案例解析实例详解课程教程.pdf
05-02
程序运行需要的数据不仅可以来源于键盘输入,还可以来自文件,程序的运行结果不仅可以输出到屏幕上,还可以保存到文件...本项目主要实现批量删除恶意代码,能对站点中的所有网页进行恶意代码的查找、识别和删除等功能。
一次利用Python开源工具恶意代码分析实践.docx
09-09
恶意代码分析工具是指用于恶意代码分析开源工具。常见的恶意代码分析工具有OllyDbg、x64dbg、API Monitor、Process Monitor等。这些工具可以对恶意代码进行静态分析和动态分析,检测恶意代码的行为特征、文件完整...
Python实现基于卷积神经网络的恶意代码分类系统.zip
09-11
数据源中的样本并不包含正常文件,只有九类恶意代码家族样本,利用九类恶意代码家族样本训练出成熟的模型最后只能用于预测恶意代码家族分类,这是先天的因素所限制,导致本项目的可适用性略窄。而针对恶意代码家族...
基于 python 实现的恶意代码检测分类平台毕业设计
06-24
【作品名称】:基于 python 实现的恶意代码检测分类平台【毕业设计】 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。 【项目介绍】:...
恶意流量检测系统_python_JavaScript_代码_相关文件_下载
07-13
Maltrail是一个恶意流量检测系统,利用包含恶意和/或一般可疑轨迹的公开(黑)名单,以及从各种 AV 报告和自定义用户定义列表编译的静态轨迹,其中轨迹可以是域名中的任何内容(zvpprsensinaix.com例如Banjori恶意...
Python-PEpper一种开源工具用于对可执行文件进行恶意软件静态分析
08-10
PEpper 一种开源工具,用于对可执行文件进行恶意软件静态分析
python实现封装得到virustotal扫描结果
12-25
本文实例讲述了python实现封装得到virustotal扫描结果的方法。分享给大家供大家参考。具体方法如下: import simplejson import urllib import urllib2 import os, sys import logging try: import sqlite3 except ImportError: sys.stderr.write("ERROR: Unable to locate Python SQLite3 module. " \ "Please verify your installation. Exiting
神操作:教你用Python识别恶意软件
BCXQ2020的博客
05-21 504
在本文中,我们将介绍恶意软件静态分析的基础知识。**静态分析是对程序文件的反汇编代码、图形图像、可打印字符串和其他磁盘资源进行分析,是一种不需要实际运行程序的逆向工程。**虽然静态分析技术有欠缺之处,但是它可以帮助我们理解各种各样的恶意软件。 通过细致的逆向工程,你将能够更好地理解恶意软件二进制文件在攻击目标后为攻击者提供的好处,以及攻击者可以隐藏并继续攻击受感染计算机的方式。正如你将看到的,本文结合了描述和实例,每个部分都介绍了静态分析技术,然后说明其在实际分析中的应用。 本文的代码和数据,可以在公众号.
如何用Python和PyInstaller编写Windows恶意代码
悦信安In4sec
03-07 902
免责声明:本文旨在分享,切勿恶意利用! 本文主要展示的是通过使用python和PyInstaller来构建恶意软件的一些poc。 本文转载至 http://www.freebuf.com/vuls/98273.html 众所周知的,恶意软件多会对目标进行持续性的攻击。而这一点在windows上有很多方法可以实现,最常见的做法是修改以下注册表项:“Software\Microsoft\Win
恶意代码检测技术——签名、启发式、行为式
m0_37442062的博客
09-02 5150
随着恶意代码成为信息安全的重要威胁,恶意代码检测技术成为信息安全领域的重要研究方向。目前已经有基于签名、启发式、行为式等几种检测恶意代码的方法,应用最广泛也是最成熟的当属基于签名的检测技术,当前研究的热点是能够检测未知恶意代码的基于数据挖掘和机器学习检测技术。下面分别对几种检测方法进行介绍。 1.1. 基于签名的检测技术 基于签名的检测技术主要基于模式匹配的思想,为每种已知恶意代码产生一个唯...
恶意代码实战分析
d_0xff的博客
07-22 2550
第一章恶意代码分析技术。1.静态分析初级技术 静态分析就是检查可执行文件 但是不分析具体指令的的一些技术。静态分析可以确定一个文件是否是恶意的,提供有关其功能的信息。有时候还会提供一些信息让你能特征码够生成简单的特征码。 2.动态分析初级技术动态分析技术涉及到运行恶意代码并且观察系统上的行为,以移除感染产生有效的特征检测码,或者两者。 3.静态分析高级技术静态分析高级技术主要是对恶意代码内部机制的
使用python解析pdf文件
热门推荐
u011331397的博客
12-03 1万+
使用python解析pdf文件 本文主要介绍怎么使用python解析pdf文件 pdf文件格式 今天,pdf已经是最常用的数据格式。在1990, Adobe公司定义pdf文档的结构。PDF 格式背后的理念是,传输的数据/文档对于参与通信过程的双方(创建者、作者或发送者以及接收者)来说看起来完全相同。PDF 是 PostScript 格式的继承者,并被标准化为 ISO 32000-2:2017。 处理PDF文件 对于 Linux,有强大的命令行工具可用,例如 pdftk 和 pdfgrep。但作为开发人员,基
python exe 反编译_原创干货 | 【恶意代码分析技巧】02exe_python
weixin_39820185的博客
11-27 436
由于恶意代码分析系列第一篇发出后,被粉丝强烈催更,小编不得不加急为大家更新了第二篇,作者大大还在持续编写中,这次的系列会非常的丰满哦,请大家持续关注公众号,第一时间收到系列更新哦!1、python虚拟机计算机发展至今已经有了机器语言、汇编语言和高级语言三种。计算机能够直接识别的是机器语言,不同的CPU使用的机器语言不是完全相同的;汇编语言本质上是和机器语言是一样的,只不过汇编指令...
分布式电网动态电压恢复器模拟装置设计与实现.doc
最新发布
07-06
本装置采用DC-AC及AC-DC-AC双重结构,前级采用功率因数校正(PFC)电路完成AC-DC变换,改善输入端电网电能质量。后级采用单相全桥逆变加变压器输出的拓扑结构,输出功率50W。整个系统以TI公司的浮点数字信号控制器TMS320F28335为控制电路核心,采用规则采样法和DSP片内ePWM模块功能实现SPWM波,采用DSP片内12位A/D对各模拟信号进行采集检测,简化了系统设计和成本。本装置具有良好的数字显示功能,采用CPLD自行设计驱动的4.3英寸彩色液晶TFT-LCD非常直观地完成了输出信号波形、频谱特性的在线实时显示,以及输入电压、电流、功率,输出电压、电流、功率,效率,频率,相位差,失真度参数的正确显示。本装置具有开机自检、输入电压欠压及输出过流保护,在过流、欠压故障排除后能自动恢复。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值