《恶意软件分析与检测》读书笔记

最新推荐文章于 2024-04-24 10:36:18 发布
最新推荐文章于 2024-04-24 10:36:18 发布
阅读量341 收藏 1
点赞数
分类专栏: 读书笔记 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_40827685/article/details/112132357
版权

《恶意软件分析与检测》 王俊峰

第一章:二进制可执行文件

第二章:检测基础

集成学习:产生多个独立决策的分类器,按照某种策略组合这些分类器来解决同一个问题。

第三章:加壳技术

加壳:可执行程序资源的压缩和加密。在执行时,踩在内存中还原。壳:附加在软件内的一段代码。防止外部程序对加壳程序进行反汇编分析或动态分析。

加壳工具可以分成压缩壳和保护壳。

压缩壳:对程序压缩

保护壳:使用加密算法以及一些技术(反调试、抗反汇编,代码混淆等)防止程序被调试、破解

未完待续...

叩钉吧zz
关注
专栏目录
[系统安全] 五十八.恶意软件分析 (10)利用火绒安全实现恶意样本家族批量标注(含学术探讨)
杨秀璋的专栏
04-26 384
前文介绍了利用MS Defender实现恶意样本家族批量标注。这篇文章将讲解如何利用火绒实现恶意样本家族批量标注,在通过VS、VT采集批量样本后,通常需要样本家族标注,如何准确识别家族类别至关重要,其将为后续的恶意软件家族分类或溯源提供帮助。在此感谢李师弟热心的指导和帮助,基础性基础,希望您喜欢,且看且珍惜。
[系统安全] 四十九.恶意软件分析 (5)Cape沙箱分析结果Report报告的API序列批量提取详解
杨秀璋的专栏
04-11 3099
系统安全将更好地帮助初学者了解病毒逆向分析和系统安全。前文详细介绍Cape沙箱批量分析,通过调用Python脚本文件submit.py来实施批量处理。这篇文章将讲解如何将Cape沙箱分析结果Report报告的API序列批量提取,主要是提取Json文件的内容并存储至指定位置。基础性文章,希望对您有帮助,如果存在错误或不足之处,还请海涵。且看且珍惜!
学习笔记-第十八章 恶意代码分析实战
Yes_butter的博客
04-09 646
第十八章 加壳和脱壳 加壳可执行文件的俩个主要目的是缩减程序的大小,阻碍对加壳程序的探测和分析。 1.剖析加壳 恶意代码加壳后,分析人员通常只能获得加壳文件,而不能检测原始程序及加壳器。 要脱壳一个可执行文件,我们必须解开加壳所执行的操作,首先,我们需要理解加壳 器的工作原理。 所有加壳器都是将一个可执行文件作为输入,输出一个新的可执行文件。被加壳的可 执行文件经过压缩,加密或者其...
普通恶意代码技术分析检测
weixin_30279315的博客
03-12 350
创建时间:2008-03-07文章属性:原创文章提交:fleshwound (fleshwound_at_126.com)fleshwound(fleshwound@smatrix.org)http://www.smatrix.org1 引言  近些年来,恶意代码依赖一些特殊的Native API函数和内核系统函数进行感染、传播、隐藏的这种趋势愈加明显代码,并大量的使用了多重加密壳、驱动关联壳、变...
安全与风险】恶意软件:概念、攻击和检测
qq_46130027的博客
04-16 1618
Malware一词是恶意软件的缩写。恶意软件是任何以破坏设备、窃取数据为目的编写的软件,通常会造成混乱。通常,他们只是想赚钱,要么自己传播恶意软件,要么把它卖给暗网上出价最高的人。然而,创建恶意软件也可能有其他原因——它可以被用作抗议的工具,一种测试安全性的方法,甚至是政府之间的战争武器。
《恶意代码分析实战》读书笔记 静态分析高级技术一
weixin_30709061的博客
05-28 162
本书第三章是动态分析的入门,对进行动态分析最基本的工具和方法进行了简述。 第四章 x86反汇编速成班 1. 内存 有四个重要的节 数据:静态值,在程序初始加载时被放在这里,在程序运行时他们可能并不发生变化,也称全局值。 代码:包含在执行程序任务时CPU所取得的指令,这些代码决定了程序做什么以及程序中任务如何协调工作。 堆:为程序执行期间需要的动态内存准备的,用于创建(分配)/消除值。 栈:用于...
《恶意代码分析实战》读书笔记 入门与基础
weixin_30662109的博客
04-08 161
本书前三章是对简单的恶意代码静态分析基础技术的概述,是分析恶意代码学习的入门。 第零章 恶意代码分析技术入门 第一章 静态分析基础技术 1. 字符串Strings 存储形式:ASCII或Unicode - ASCII 每个字符1字节 - Unicode 每个字符2字节 Strings搜索程序:忽略上下文和格式,从整个文件中检测可打印字符串。 用户:过滤无效字符串,通过有...
恶意软件检测分析:挑战与研究机遇
博客
05-01 740
说明 恶意代码分类 恶意软件隐藏技术 恶意软件检测分析系统 通用恶意软件检测系统由四个主要模块组成:特征提取、特征选择、分类/聚类和决策。 A软件分析 恶意软件分析可通过以下三种方式进行: 静态分析 [5]提出了一种基于调用码图挖掘的静态分析方案,用于区分Windows环境下恶意软件的变体。 [6]使用DLLs函数列表、系统调用和十六进制转储等特性来检测新的和看不见的恶意可执行文件。 [7]设计了一种恶意软件检测方法,使用Java文件中的第三方API调用和多目标优化分类。 [8]开发了一个多视图(MKLD
恶意软件检测技术综述
热门推荐
vivid_moon的博客
05-29 1万+
2018体系结构安全大作业申明:转载请注明出处恶意软件检测技术综述摘要本文介绍了恶意软件恶意软件探测技术和探测器的定义,以及研究它们的现实意义。概述了恶意软件探测技术的具体分类和各个类别的研究现状。结合研究现状,总结了软件探测器性能损耗高,覆盖范围有限的特点,提出了可以结合计算机组成结构原理,开发底层硬件分类器的思想,并且结合国内外硬件探测器研究,列举了几个常用的检测指标,总结了他们的贡献和不足...
pc样本学习笔记之脚本类恶意程序的快速分析技巧.docx
最新发布
05-01
### pc样本学习笔记之脚本类恶意程序的快速分析技巧 #### 一、概述 在当前复杂的网络环境中,脚本类恶意程序因其隐蔽性强、传播迅速等特点,成为了网络安全防护中的重要威胁之一。针对这类恶意程序的快速分析能力...
恶意软件自动分析工具malheur
05-25
Malheur是一个自动化恶意软件分析工具,它在沙箱(sandbox)中记录恶意软件的程序行为。开发Malheur的目的除了支持常规意义 上的恶意软件行为分析,还有就是关注恶意软件检测和防范方法的发展。Malheur能够识别具有类似行为的恶意软件,还能够发现未知的恶意软件。 Malheur 支持检测报告自动生成,报告格式类似于流行的恶意软件沙箱CWSandbox,Anubis,Norman,Sandbox和joebox。
专注 APT 攻击与防御 - Micro8 读书笔记1
08-04
1. 隐蔽性:APT攻击通常通过复杂的技术手段隐藏踪迹,如使用零日漏洞和定制的恶意软件。为了防御,企业需要建立强大的威胁情报系统,监测网络中不寻常的行为模式。 2. 持续性:攻击者会在目标系统中长时间潜伏,...
[网络安全提高篇] 一二八.恶意软件分析之利用MS Defender实现恶意样本家族批量标注(含学术探讨)
杨秀璋的专栏
04-24 346
前文介绍了IDA Python配置过程和基础用法,然后尝试提取恶意软件的控制流图(CFG)。这篇文章将讲解如何利用MS Defender实现恶意样本家族批量标注,在通过VS、VT采集批量样本后,通常需要样本家族标注,如何准确识别家族类别至关重要,其将为后续的恶意软件家族分类或溯源提供帮助。在此感谢李师弟热心的指导和帮助,基础性基础,希望您喜欢,且看且珍惜。
学习笔记-第十四章 恶意代码分析实战
Yes_butter的博客
03-26 1500
第十四章 恶意代码的网络特征 1.网络应对措施。 网络行为的基本属性包括IP地址,TCP端口,以及流量内容等,网络和安全 设备可以利用它们,来提供网络应对措施。根据IP地址和端口,防火墙和路由器可以限制对 网络的访问。 入侵检测系统,入侵防御系统,以及电子邮件和web代理等其他安全应用。 作为常用术语的 入侵检测系统已经过时了。特征不再仅仅用在入侵检测方面,还可以用来检测网络扫描,服 务枚举与分...
推荐书籍-恶意软件分析诀窍与工具箱
weixin_30933531的博客
02-19 184
目录 第1章 行为隐匿 1 第2章 蜜罐 19 第3章 恶意软件分类 39 第4章 沙箱和多杀毒扫描软件 73 第5章 域名与IP地址 99 第6章 文档、shellcode和URL 127 第7章 恶意软件实验室 177 第8章 自动化操作 201 第9章 动态分析 237 第10章 恶意软件取证 283 第11章 调试恶意软件 335 第12章 反混淆 373 第13章 处理DLL ...
恶意软件分析:测试尝试(二)
知柯信安
12-02 329
我决定获取一个名为“ BC.Heuristic.Trojan.SusPacked.BF-6.A”的示例,出于其他的原因,我不会把程序链接放到该示例,但是该示例的MD5哈希为0148d6e7f75480b3353f1416328b5135 。可以将其用作打开的恶意软件站点上的搜索词,以查找本次分析尝试中使用的样本。 下载文件后,我会使用Regshot拍摄注册表和计算机上文件的快照。然后,我运行文件,拍摄了另一个快照,并比较了两者。结果显示,执行时创建了多个文件和文件夹。 Files added: 3 ----
动态恶意软件分析工具介绍
myguaicai的博客
11-08 1702
动态恶意软件分析工具介绍 网络安全观察者 在本教程中,我们将介绍动态恶意软件分析工具,用于了解恶意软件执行后的行为。本教程是我们恶意软件分析教程中的第2部分。如果您尚未阅读本系列的第1部分,请先阅读本系列教程1,然后再继续这一篇。 在本教程中,我们将介绍用于在虚拟机中执行恶意软件分析活动的动态恶意软件分析工具。我们将分别介绍Procmon,Process Explorer,Regshot,ApateDNS,Netcat,Wireshark以及INetSim等工具来进行恶意软件分析。动态恶意软件分析
读书笔记1
Super_FROG的博客
06-16 210
读书笔记1 《基于数据科学的恶意软件分析恶意软件的定义 达成恶意目的而编写的可执行程序。尽管一些老练的攻击者有时为逃避恶意软件的监视系统而不使用恶意软件,但在目前的网络攻击中,恶意软件仍然是攻击者使用的主要技术。 恶意软件的静态分析 静态分析是对程序文件的反汇编代码、图形图像、可打印字符串和其他磁盘资源进行分析,是一种不需要实际运行程序的逆向工程。 PE(Portable Executable)文件 作用: a)告诉Windows如何把程序加载到内存中(header的作用) b)为运行程序提供在执行过
四川大学计算机系统 赵树龙,王俊峰
weixin_33345090的博客
07-19 559
王俊峰 男 博士生导师 视觉合成重点学科实验室学术带头人,视觉合成重点学科实验室常务副主任, 计算机学院(软件学院)副院长。 主要从事空间信息网络、传感器网络与信息安全、交通流行为挖掘及图像识别方面的研究与开发工作。作为项目负责人/主要参与人已完成国家/GF纵向科研任务以及企业委托研发项目等十余项。在国际期刊、知名国际会议和国内一级学报等共发表学术论文90余篇,其中被SCI/EI收录58篇,申请国...
Micro8读书笔记:APT攻击与防御关键漏洞追踪
本书《Micro8读书笔记一》深入探讨了Windows系统中常见的提权漏洞及其相应的安全补丁,这对于任何从事IT安全或系统管理的人来说都是至关重要的知识。 章节3.8.8至3.13涵盖了Windows系统自2017年以来一系列安全漏洞...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值