第二章:恶意软件动态分析基础

最新推荐文章于 2024-07-10 13:57:00 发布
最新推荐文章于 2024-07-10 13:57:00 发布
阅读量1.1k 收藏
点赞数
分类专栏: 基于数据科学的恶意软件分析 文章标签: 安全 大数据
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_50005008/article/details/116793007
版权

文章目录

前言

  静态分析侧重的是恶意软件在文件形式中的表现,动态分析则在一个安全、受控的环境中运行恶意软件以查看其行为方式。通过动态分析,我们可以绕过常见的静态分析障碍,例如加壳、混淆,以更直观地了解给定恶意软件样本的目的。由于动态分析揭示了恶意软件样本的作用,因此我们可以根据它的动作与其他恶意软件样本进行比较。这些线索有助于我们根据共同的特征对恶意软件样本进行分类,甚至可以帮助我们识别由相同组织制作或者属于相同攻击活动的恶意软件样本。
  最重要的是,动态分析对于构建基于机器学习的恶意软件检测器非常有用。可以通过观察动态分析期间的行为,来对检测器进行训练,以区分恶意和正常的二进制文件。

动态分析的局限

  1. 恶意软件作者了解CuckooBox和其他动态分析框架,并试图绕过它们,让它们的恶意软件在检测到自己在CuckooBox中运行时无法执行。CuckooBox的维护人员知道恶意软件的作者试图这样做,所以他们试图解决恶意软件绕过CuckooBox的尝试,以至于一些恶意软件样本不可避免地会检测到它们正在动态分析环境中运行,而当我们试图运行它们时却无法执行。
  2. 考虑恶意软件二进制文件在执行时回连到远程服务器并等待发出的命令的情况。在这种情况下,如果远程服务器不发送任何命令,或者不在运行,那么重要的恶意行为都不会显现出来。由于这些限制,动态分析并不是恶意软件分析的万能工具。事实上,专业的恶意软件分析师将动态和静态分析相集合,以达到可能的最佳结果。
xn12334
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
第二章:LLMasOS核心技术
禅与计算机程序设计艺术
05-01 604
第二章:LLMasOS核心技术 1. 背景介绍 1.1. 操作系统发展历程 操作系统 (OS) 是计算机系统中至关重要的软件,它管理硬件资源、提供应用程序运行环境,并充当用户与计算机硬件之间的接口。从早期的批处理系统到分时系统,再到如今的实
恶意代码动态分析
qq_41821067的博客
02-23 2155
目录实验一问题实验环境实验思路实验过程实验二问题实验环境实验思路实验过程实验三问题实验环境思路实验过程实验四问题实验环境实验思路实验过程 实验一 使用动态分析技术来分析lab03-01.exe文件中发现的恶意代码 问题 找出这个恶意代码的导入函数和字符串列表 找出代码在主机上的感染特征 创建一个互斥量,并且复制到systems32下的目录下,而且还将自己添加到注册表的启动项中。 找出是否存在一些有用的网络特征码,如果存在,它们是什么? 不断进行DNS域名解析,并进行广播,并是** 的数据包,数据包是随机的。
通过流量取证对恶意软件进行动态行为分析
blackorbird的博客
09-04 428
通过流量取证对恶意软件进行动态行为分析链接:https://freddiebarrsmith.com/mastersthesis.pdf简介内容:主要目的...
恶意软件检测中的行为分析
ptsecurity的博客
06-21 2612
恶意软件检测中的行为分析
Droidbox恶意软件动态分析环境搭建
weixin_30892987的博客
03-27 332
@author : Dlive 0x01 DroidBox简介 DroidBox是一款,可以获得以下信息 1.APK包hash值 2.网络通信数据 3.文件读写操作 4.网络通信,文件读写,SMS中的信息泄露 5.权限漏洞 6.调用Android API进行的加密操作 7.Broadcast receiver组件信息 8.SMS短信与电话信息 9.DexClassLoader加载信息 0x02 D...
恶意代码分析实战 2 动态分析基础技术
农夫果园好好喝的博客
01-24 1866
使用动态分析基础技术来分析在Lab03-01.exe文件中发现的恶意代码。问题ws2_32cks=uadvapi32ntdlluser32StubPathadminWinVMX32-AppData网址是需要注意的,注册表的这个目录也需要注意,CurrentVersion经常用于恶意软件的自启动。拖入PEiD,查看一下是否有壳。由于加了壳,只能看到一个函数表。
恶意软件分析:测试尝试(二)
知柯信安
12-02 326
我决定获取一个名为“ BC.Heuristic.Trojan.SusPacked.BF-6.A”的示例,出于其他的原因,我不会把程序链接放到该示例,但是该示例的MD5哈希为0148d6e7f75480b3353f1416328b5135 。可以将其用作打开的恶意软件站点上的搜索词,以查找本次分析尝试中使用的样本。 下载文件后,我会使用Regshot拍摄注册表和计算机上文件的快照。然后,我运行文件,拍摄了另一个快照,并比较了两者。结果显示,执行时创建了多个文件和文件夹。 Files added: 3 ----
第二章 客户端脚本安全1
08-03
在这一章中,我们将深入探讨客户端脚本安全基础知识,包括常见攻击类型、防范策略以及相关的最佳实践。 1. 常见攻击类型: - 跨站脚本攻击(XSS):XSS攻击是通过注入恶意脚本到网页中,当其他用户访问该页面时,...
僵尸网络模拟器:了解恶意软件传播的工具
僵尸网络恶意软件模拟器A B标准僵尸网络模拟器是一种工具,允许研究人员模拟不同机器人的行为,这些机器人争夺对同一目标池的控制权。这种模拟使研究人员能够预测恶意软件设计的差异,例如不同的扫描策略,感染方法...
系统架构设计师教程 第二章 计算机系统基础知识-2.4嵌入式系统及软件
最新发布
Remon的专栏
07-10 809
《系统架构设计师教程》清华第二版 2.3嵌入式系统及软件 章节的详细解读
DrSemu:DrSemu-基于动态行为的沙盒恶意软件检测和分类工具
02-06
瑟姆博士 Dr.Semu在隔离的环境中运行可执行文件,监视进程的行为,并根据您或社区创建的Dr.Semu规则,检测进程是否恶意。 [该工具处于早期开发阶段] : 使用Dr.Semu您可以创建规则以基于流程的动态行为检测恶意软件。 通过重定向隔离 一切都从用户模式发生。 Windows Projected File System 用于提供virtual文件系统。 对于注册表重定向,它将所有注册表配置单元克隆到一个新位置,并重定向所有注册表访问。 有关其他重定向(进程/对象隔离等)的更多信息,请参见源代码。 监控方式 Dr.Semu在要越过用户内核线时使用 (动态仪表工具平台)来拦截线程。
恶意软件分发网络拓扑结构的时间洞察和属性分析:2022年研究阵列14(100174) Jose Andre Morales*,Yang Cai.
阵列14(2022)100174分析恶意软件分发网络Jose Andre Morales*,Yang Cai卡内基梅隆大学,5000福布斯大道,Pittsburgh,PA,15213,美国A R T I C L EI N FO保留字:恶意软件恶意软件分布网络恶意软件检测A B S T R...
【0110】恶意样本行为分析
weixin_51991455的博客
01-10 253
编号为66ec58b4bdcb30d1889972c1ee30af7ff213deece335f798e57ff51fe28752e3的恶意样本分析报告
思考:恶意软件特征
围城
07-10 950
2020/06/16 - 今天在阅读《海量数据挖掘》的过程中,看到了这个TF.IDF的内容。书中提到,一般来说,当我们看到例如“奔跑”,“某球”的单词(出现次数很多),就会觉得这篇文章属于一种球类的文章。。。 我感觉我没弄懂他到底想说什么。其实TF.IDF就是说,有些时候有些单词可能出现次数低,但他就是决定某个文章是某类的因素。 这让我想到了这个问题:那恶意软件中怎么来推广。好像推广不过来(从指...
恶意代码检测理论(静态与动态分析基础)
H4ppyD0g的博客
11-03 9438
什么是恶意代码 恶意代码(malicious code)又称为恶意软件(malicious software,Malware),是能够在计算机系统中进行非授权操作的代码。 恶意代码类型 1、蠕虫或计算机病毒:可以自我复制和感染其他计算机的恶意代码 2、后门:指一类能够绕开正常的安全控制机制,从而为攻击者提供访问途径的一类恶意代码。攻击者可以通过使用后门工具对目标主机进行完全控制。 3、僵尸网络:...
[网络安全提高篇] 一一九.恶意软件动态分析经典沙箱Cape的安装和基础用法详解
杨秀璋的专栏
03-22 5204
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文详细介绍恶意代码静态分析经典工具Capa的基础用法,以及批量提取静态特征和ATT&CK技战术,主要是从提取的静态特征Json文件中提取关键特征。这篇文章将详细讲解动态分析沙箱Cape,其是一个开源的自动恶意软件分析系统,通过自动运行和分析恶意软件,全面分析和提取恶意软件的关键特征。本文先介绍Cape沙箱的安装和基础用法,后续随着深入再分享。基础性文章,希望对您有帮助!
基于AI的恶意软件分析技术(3)
山楂的博客
05-05 7197
2020年一篇综述:基于AI的恶意软件检测和分类研究的发展、趋势和挑战
一个恶意样本的分析
信息安全
08-09 4237
1.1样本信息1.样本概况 病毒名称:bea213f1c932455aee8ff6fde346b1d1960d57ff MD5: 6E4B0A001C493F0FCF8C5E9020958F38 SHA1: BEA213F1C932455AEE8FF6FDE346B1D1960D57FF CRC32: 1CD8074D 1.2测试环境及工具 2.1.1 测试环境 Windows ...
恶意样本分析手册——理论篇
iopoint的专栏
07-27 722
0x00写在最前面 开场白:快报快报!今天是2017 Pwn2Own黑客大赛的第一天,长亭安全研究实验室在比赛中攻破Linux操作系统和Safari浏览器(突破沙箱且拿到系统最高权限),积分14分,在11支队伍中暂居 Master of Pwn 第一名。作为热爱技术乐于分享的技术团队,我们开办了这个专栏,传播普及计算机安全的“黑魔法”,也会不时披露长亭安全实验室的最新研究成果。 安全领域博大精深,很多童鞋都感兴趣却苦于难以入门,不要紧,我们会从最基础的内容开始,循序渐进地讲给大家。技术长路漫漫,我们携.
计算机犯罪取证分析:恶意软件基础
课件涵盖了第六章——恶意软件分析基础,详细介绍了分析程序行为的各种方法,包括如何规避运行可能有害程序的风险,通过系统调用拦截、库函数监控以及逆向工程和静态分析来监测程序行为。同时,也探讨了针对程序行为...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值