当前位置:文档之家 › 恶意程序分析

恶意程序分析

  • 格式:pptx
  • 大小:766.11 KB
  • 文档页数:54

下载文档原格式

  / 54

合集下载

网络安全中的恶意代码分析与防范手段

网络安全中的恶意代码分析与防范手段

网络安全中的恶意代码分析与防范手段恶意代码是指通过计算机网络对用户或者系统造成危害的一种程序代码,常见的恶意代码包括病毒、蠕虫、木马、间谍软件等。

随着网络的普及和应用的广泛,网络安全问题变得愈发突出。

本文将对网络安全中的恶意代码进行分析,并提供相应的防范手段。

一、恶意代码的分析恶意代码的形式多种多样,具有隐蔽性和破坏性。

下面将介绍几种常见的恶意代码及其分析方法。

1. 病毒病毒是一种能够自我复制并传播的恶意代码。

它通常通过文件的共享或者下载、运行来感染目标计算机。

病毒可以对系统文件进行修改、删除或者破坏,导致计算机系统崩溃。

分析病毒需要使用杀毒软件,对潜在的病毒样本进行扫描和分析,从而识别病毒的特征。

2. 蠕虫蠕虫是一种能够自动复制并在网络中传播的恶意代码。

蠕虫可以通过漏洞来感染系统,并在系统中运行。

它们常常通过邮件、用户点击等方式传播。

分析蠕虫需要借助网络监控系统,对网络流量进行监测和分析,从而发现异常的数据包和行为。

3. 木马木马是一种通过伪装成合法程序隐藏在计算机系统中的恶意代码。

它可以远程控制受感染的计算机,进行非法操作,如窃取个人信息、植入其他恶意程序等。

分析木马需要使用流量分析工具,监控计算机与外部的网络连接,识别异常连接和传输的数据包。

4. 间谍软件间谍软件是一种潜伏在计算机中的恶意程序,用于收集用户的个人信息,并将其发送给第三方。

间谍软件通常通过下载和安装一些看似正常的软件而进入系统。

分析间谍软件可以使用反间谍软件进行扫描和识别,同时注意检查系统中的异常行为和网络连接。

二、恶意代码的防范手段针对恶意代码的分析结果,我们需要采取相应的防范措施,并提高网络安全的水平。

以下是几种常用的防范手段。

1. 使用杀毒软件和防火墙杀毒软件和防火墙是防范恶意代码的第一道防线。

及时更新病毒库和漏洞补丁,可以有效阻止恶意代码的感染。

同时,配置合适的防火墙策略,对网络连接和传输进行监控和过滤,保护系统安全。

恶意代码检测与分析

恶意代码检测与分析

恶意代码检测与分析恶意代码是指那些被设计用来对计算机系统或网络进行破坏、入侵或传播的代码。

恶意代码的目的可以是窃取敏感信息、破坏系统功能、操纵系统行为或传播自身。

恶意代码种类繁多,包括病毒、蠕虫、木马、间谍软件、广告软件等。

为了确保计算机系统和网络的安全,恶意代码的检测与分析变得至关重要。

下面将介绍恶意代码检测与分析的方法和技术。

一、恶意代码检测1.病毒扫描病毒扫描是一种最常见的恶意代码检测方法。

它通过对文件和系统进行扫描,寻找已知的病毒特征。

病毒特征是一些已知的病毒代码片段、文件名或行为模式。

如果扫描发现了这些特征,就会认定文件或系统受到感染。

2.行为分析行为分析是一种基于恶意代码的行为模式进行检测的方法。

它监视软件程序的运行过程,分析其行为模式是否符合恶意代码的行为。

例如,如果一个程序试图修改系统文件或窃取用户信息,就可能是恶意代码。

3.网络流量分析恶意代码在传播和执行时通常会通过网络进行通信。

网络流量分析可以通过监视网络通信,检测出异常流量模式或恶意行为。

例如,如果一个计算机在短时间内向大量IP地址发送数据包,就可能是一个僵尸网络的一部分。

二、恶意代码分析恶意代码分析是对恶意代码进行深入分析和理解的过程,目的是找出其行为、特征和传播方式,从而提供有效的防御措施。

1.静态分析静态分析是对恶意代码进行静态扫描,不需要实际运行代码。

静态分析可以通过对代码的反汇编、符号执行和代码模式匹配等技术来获取恶意代码的行为和特征。

2.动态分析动态分析是在虚拟环境中运行恶意代码,并监视其行为模式和系统调用。

动态分析通常通过采集恶意代码的运行数据、行为模式和输入输出参数来分析恶意代码的特征和目的。

3.持续监测总结:恶意代码检测与分析是确保计算机系统和网络安全的重要环节。

通过病毒扫描、行为分析和网络流量分析等方法可以及时检测恶意代码。

静态分析和动态分析可以深入理解恶意代码的行为和特征,从而提供有效的防御措施。

持续监测可以保持对恶意代码的及时识别和应对。

网络安全中的恶意代码分析与防范

网络安全中的恶意代码分析与防范

网络安全中的恶意代码分析与防范恶意代码(Malware)是指故意编写的、以非法方式获取用户计算机上数据、控制计算机或者传播恶意软件的软件程序或脚本。

随着互联网的发展,恶意代码的数量和种类不断增加,给用户计算机带来了巨大风险。

因此,对于网络安全中的恶意代码分析与防范成为了一个重要的议题。

一、恶意代码的类型恶意代码的类型繁多,常见的恶意代码包括病毒、蠕虫、木马、间谍软件等。

这些恶意代码以不同的方式侵入到用户计算机中,对用户的信息和系统安全构成威胁。

1.病毒(Virus):病毒是一种能够通过自我复制和植入到其他可执行文件中来传播的恶意代码。

病毒可以破坏或删除文件,感染其他文件并传播到其他计算机上。

2.蠕虫(Worm):蠕虫是一种无需依赖其他程序传播的恶意代码。

蠕虫可以通过网络连接和传播自己,感染其他计算机并利用系统漏洞获取权限,从而对计算机进行攻击。

3.木马(Trojan):木马是一种将恶意功能隐藏在看似有用的程序中的恶意代码。

用户在下载和安装这些程序时,木马就会获取系统权限,窃取用户的敏感信息或者控制系统进行攻击。

4.间谍软件(Spyware):间谍软件是一种用于窃取用户个人信息并未用户做出批准的恶意代码。

间谍软件可以记录用户的浏览记录、键盘输入、窃取敏感信息等。

二、恶意代码的分析恶意代码分析是指对恶意代码进行研究和解剖,以了解其行为特征、传播方式和攻击手段,为后续的防范提供依据。

恶意代码分析主要包括静态分析和动态分析。

1.静态分析:静态分析是通过对恶意代码的静态特征进行分析,如文件大小、文件结构、代码特征等。

静态分析可以帮助分析人员了解恶意代码的基本功能和执行路径,但无法获取其具体行为和产生的动态效果。

2.动态分析:动态分析是通过在受控环境中进行恶意代码的执行并观察其行为。

动态分析可以获取恶意代码的运行轨迹、网络连接、系统变化等信息。

这可以帮助分析人员深入了解恶意代码的具体行为和对计算机系统的威胁程度。

安全测试中的恶意软件分析与检测

安全测试中的恶意软件分析与检测

安全测试中的恶意软件分析与检测在安全测试中,恶意软件分析与检测起着至关重要的作用。

恶意软件是指那些以非法手段获取用户信息、破坏系统功能、盗取资金等为目的的软件。

针对这些恶意软件,进行分析与检测不仅可以帮助用户保护个人信息的安全,还能有效防止系统受到攻击,保证系统运行的稳定性与可靠性。

本文将重点探讨安全测试中的恶意软件分析与检测的相关技术和方法。

一、恶意软件的分类恶意软件广泛存在于计算机系统、移动设备以及网络中。

根据其破坏性质和攻击目标的不同,可以将恶意软件分为下列几类:计算机病毒、蠕虫、木马、间谍软件、广告软件等。

每一类恶意软件都具有自身的特点和攻击手段,因此在安全测试中需要根据具体情况采取不同的分析与检测方法。

二、恶意软件分析恶意软件分析是指对已经感染计算机系统或移动设备的恶意软件样本进行深入研究和分析的过程,以便获取其行为特征、攻击方式以及可能造成的危害。

在进行恶意软件分析时,通常需要采用反汇编、调试和动态监测等技术手段,逆向分析其代码特征、网络通信方式和系统调用等信息。

1. 反汇编与调试反汇编是将二进制代码转化为可读的汇编代码的过程,通过反汇编可以深入了解恶意软件的执行过程和功能实现。

调试是指通过调试器对恶意软件进行运行时的监控和跟踪,及时捕获其行为特征和攻击方式。

反汇编与调试是恶意软件分析的重要技术手段之一。

2. 动态监测动态监测是指在恶意软件执行过程中对其行为和活动进行实时监测和记录。

通过监测恶意软件的系统调用、文件操作、网络通信等行为,可以获取关键信息,识别恶意软件的攻击方式和传播途径。

三、恶意软件检测恶意软件检测是指对计算机系统、移动设备等进行全面扫描和监测,及时发现和清除潜在的安全威胁。

在安全测试中,恶意软件检测是非常重要的一项任务,它可以通过特征匹配、行为分析和机器学习等方法实现。

1. 特征匹配特征匹配是指将已知的恶意软件特征与计算机系统或移动设备中存在的文件进行比对,以发现是否存在潜在的威胁。

恶意应用程序检测报告

恶意应用程序检测报告

恶意应用程序检测报告
1. 背景信息
恶意应用程序是指具有恶意意图的应用程序,可能会对用户的设备和数据造成威胁。

为了确保设备的安全性,本报告旨在对恶意应用程序进行检测和分析。

2. 检测方法
使用单信号特征和多信号特征相结合的方式对应用程序进行检测。

我们使用了以下几种方法:
- 静态分析:对应用程序的代码进行静态分析,检查是否存在恶意行为的迹象。

- 动态分析:运行应用程序,并监视其行为,以便及时发现潜在的恶意行为。

- 机器研究算法:使用训练好的模型对应用程序进行分类,以识别恶意应用程序。

3. 检测结果
经过检测和分析,我们发现以下结果:
- 总共检测了1000个应用程序,其中有200个应用程序被判定
为恶意应用程序。

- 恶意应用程序主要包含以下类型:恶意广告、恶意软件、恶
意权限获取等。

- 恶意应用程序的特征包括:异常的网络请求、频繁的后台运行、隐私权限滥用等。

4. 建议措施
为了减少恶意应用程序对用户的伤害,我们提出以下建议措施:- 定期更新设备的操作系统和应用程序,以获取最新的安全补丁。

- 注意应用程序的权限请求,避免授权敏感权限给不可信的应
用程序。

- 安装并定期更新可靠的安全应用程序,对设备进行实时监测
和防护。

5. 总结
针对恶意应用程序的检测是确保设备安全的重要一环。

通过综
合采用静态分析、动态分析和机器研究算法的检测方法,我们能够
快速准确地识别恶意应用程序,并提供相应的建议措施,帮助用户保护设备和数据的安全。

恶意软件分析和检测技术的研究

恶意软件分析和检测技术的研究

恶意软件分析和检测技术的研究恶意软件(Malware)是指一种恶意目的而创建的软件程序,通过植入恶意代码来对计算机系统或网络进行破坏、监控、窃取信息等活动。

在当前高度信息化的社会环境下,恶意软件的存在给个人和企业的网络安全带来了巨大威胁。

因此,恶意软件分析和检测技术的研究至关重要。

恶意软件分析是指对恶意软件进行深入分析,以便更好地理解其行为和特征。

通过分析恶意软件的代码结构、功能和交互方式,可以获取到其攻击手段和目标,从而提供更准确的防护策略。

恶意软件分析技术主要包括静态分析和动态分析。

静态分析主要通过对恶意软件的可执行文件进行逆向工程分析,以获取恶意代码的内部结构和功能。

通常可以利用静态分析工具对恶意软件文件进行反汇编、脱壳、解密等操作,从而分析恶意代码的执行流程和攻击方式,确定其恶意行为。

此外,还可以使用特征提取和机器学习技术对恶意代码进行分类,从而发现新的恶意软件变种。

动态分析是指在可控环境中运行恶意软件,并监测其行为以获取恶意代码的运行过程和结果。

常见的动态分析技术包括行为监测、沙箱分析和模拟器分析等。

行为监测可以通过监控网络流量、文件操作、进程行为等方式,捕获到恶意软件的活动,进而发现其攻击行为和目标。

沙箱分析和模拟器分析则通过在虚拟环境中运行恶意软件,以观察其对系统的影响和操作结果,从而深入研究其行为特征。

恶意软件检测技术是指通过对可疑文件或系统进行扫描和分析,以发现其中是否存在恶意软件。

恶意软件检测技术可以根据其特征、行为和模式进行分类。

特征检测主要是基于已有的恶意软件数据库,通过匹配文件的特征码、行为特征或病毒签名等方式,对可疑文件进行判定。

行为检测是指通过监测文件的行为,如果发现其执行了恶意操作或与恶意软件相似的行为,则判定为恶意软件。

模式检测是指根据已知的恶意软件模式,通过扫描文件中的关键字、结构或特定指令序列等方式进行检测。

此外,还有基于机器学习和人工智能技术的检测方法,通过训练模型、提取特征等方式,对未知的恶意软件进行识别和分类。

恶意软件分析

恶意软件分析恶意软件(Malware)是指一类恶意目的、意图破坏或非法获取信息的计算机程序。

它们常常潜伏在用户的电脑中,利用各种漏洞和技术手段,对系统和数据进行破坏、篡改或者盗取。

恶意软件的出现严重威胁了个人隐私和信息安全,给用户和企业带来了巨大的损失。

本文将对恶意软件进行分析,从其类型、传播方式、危害以及防范措施等方面进行探讨。

一、恶意软件的类型恶意软件的类型多种多样,常见的有:病毒(Virus)、木马(Trojan)、僵尸网络(Botnet)、恶意广告(Adware)、间谍软件(Spyware)等。

病毒是最常见的一种,可以通过植入到正常程序或文件中在用户计算机上复制和传播。

木马则通过伪装成有用的软件来欺骗用户,一旦被用户下载并执行,就会在背后偷偷进行恶意活动。

僵尸网络则是一种大规模的网络攻击方式,将众多感染的计算机组成网络,通过远程控制实施攻击。

恶意广告以及间谍软件则更注重窃取用户的隐私和个人信息。

二、恶意软件的传播方式恶意软件的传播方式多种多样,常见的有:邮件附件、下载携带、恶意网站、社交网络、移动存储介质等。

邮件附件是最常见的传播方式之一,病毒常常通过邮件附件的形式隐藏在用户的收件箱中。

下载携带是指用户在下载一些不明来源的软件、文件时,恶意软件随之下载并潜藏在计算机中。

恶意网站则是通过伪装成合法和安全的网站,诱导用户点击并自动植入恶意软件。

社交网络也是恶意软件传播的渠道之一,用户在使用社交网络的过程中,常常点击和分享带有恶意链接和附件的信息。

移动存储介质则是指通过U盘、移动硬盘等存储介质进行传播。

三、恶意软件的危害恶意软件的危害不容忽视,它们对个人用户、企业和整个互联网都带来了严重的风险。

对个人用户而言,恶意软件可以窃取用户的个人信息,包括银行账号、密码等敏感信息,并进行利用或者贩卖。

恶意软件还可以监控用户的网上活动,篡改或者删除用户的数据。

对企业而言,恶意软件可以导致企业的系统瘫痪,数据丢失,甚至公司财务受损。

网络安全技术中的恶意代码检测与分析

网络安全技术中的恶意代码检测与分析1.引言随着互联网的不断发展,网络安全问题越来越引起人们的关注。

恶意代码(Malware)是一种能够损害计算机系统的程序,常见的恶意代码有病毒、蠕虫、木马、广告软件和僵尸网络等。

这些恶意代码不仅会破坏计算机系统,还会泄露个人隐私和商业机密等重要信息。

因此,在网络安全技术中,恶意代码检测和分析是非常重要的一个方面。

2.恶意代码分类在进行恶意代码检测和分析之前,必须先了解恶意代码的类型。

根据恶意代码的特性和目的,可以将恶意代码分为以下几类:2.1 病毒病毒是恶意代码中最为常见的一种,它会通过在合法程序中插入代码来感染其他程序,在用户不知情的情况下进行自我复制和传播。

病毒具有隐蔽性和破坏性,能够在计算机系统中扩散,并在病毒感染的计算机上执行一定的恶意行为,比如删除文件和窃取用户信息等。

2.2 蠕虫蠕虫是一种自我复制的计算机程序,它可以自主传播到计算机网络中的其他计算机,具有很高的感染力和传染速度。

和病毒不同,蠕虫可以完全自主运行而不需要依附于其他程序。

2.3 木马木马是一个伪装成合法程序的恶意代码,常常伪装成一些有用的软件来诱骗用户下载和安装。

一旦安装,木马就能够实现远程控制和命令执行等功能,攻击者可以通过木马窃取用户信息、攻击其他计算机系统等。

2.4 广告软件广告软件是一种通过弹窗、网页等形式来展示广告或者强制用户进行某些操作的程序。

广告软件也常常被称为“流氓软件”,因为它们经常会在用户不知情的情况下安装,占用带宽和资源,影响用户体验。

2.5 僵尸网络僵尸网络是由大量被感染的计算机组成的网络,攻击者可以通过这个网络来发起各种攻击。

一旦计算机感染了恶意软件,攻击者就可以远程控制它来实现各种目的,如发起DDoS攻击、窃取用户信息和进行网络钓鱼等。

3.恶意代码检测技术面对不同类型的恶意代码,必须采用不同的检测技术来进行检测。

下面介绍几种常见的恶意代码检测技术。

3.1 签名检测签名检测是一种常见的恶意代码检测技术,它是通过对已经发现的恶意代码进行分析和特征提取来建立恶意代码库,然后对系统中的二进制文件进行扫描匹配,从而检测出是否感染了恶意代码。

恶意代码分析报告

恶意代码分析报告引言恶意代码(Malware)是指那些被设计用来获取未授权访问、损坏计算机系统或者对其进行未经授权的操作的恶意软件。

恶意代码的出现给用户的计算机安全和隐私带来了巨大的威胁。

本文将通过一步步的思路分析恶意代码的特征和行为,并提供一些防范和应对的方法。

分析步骤第一步:获取恶意代码首先,需要获取一份恶意代码的样本。

这可以通过多种途径实现,例如在研究机构的恶意代码库中获取、从病毒信息共享平台下载或通过钓鱼邮件等方式收集。

第二步:静态分析在开始动态分析之前,静态分析可以提供关于恶意代码的一些基本信息。

以下是一些静态分析的步骤:•代码签名分析:检查恶意代码是否有已知的签名,以便识别它是否与已知的恶意软件有关。

•文件元数据分析:检查文件的元数据,例如文件大小、创建时间和修改时间等信息,有时这些信息可以提供有价值的线索。

•反编译:将恶意代码进行反编译,以了解其内部结构和功能。

•静态代码分析:检查代码中的漏洞、恶意函数调用、不寻常的代码结构等。

第三步:动态分析动态分析是通过执行恶意代码并监视其行为来获得更多信息。

以下是一些动态分析的步骤:•沙箱环境:在一个安全的沙箱环境中执行恶意代码,以防止其对真实系统产生破坏性影响。

•网络行为分析:监视恶意代码与远程服务器之间的网络通信,识别其是否下载其他恶意文件、上传敏感数据等。

•系统调用监视:监视恶意代码对操作系统的系统调用,例如文件操作、进程启动等,以了解其对系统的影响。

•注册表和文件系统监视:监视恶意代码对注册表和文件系统的修改,以发现其是否在系统中创建了后门、修改了关键系统文件等。

第四步:结果分析在完成动态分析后,需要对获得的结果进行分析,并从中提取有用的信息。

以下是一些结果分析的步骤:•扫描恶意代码:使用反病毒软件扫描恶意代码,以了解其是否已被广泛识别和防护。

•提取恶意行为:从动态分析的结果中提取恶意代码的行为特征,例如是否存在数据窃取、远程控制等。

网络安全中恶意软件的行为研究与检测

网络安全中恶意软件的行为研究与检测1. 引言1.1 恶意软件的定义恶意软件,又称恶意代码、恶意程序,是一类被意图以知识产权或商业利益为目的而制作的软件,其功能是对计算机系统进行破坏、监视、窃取数据等违法行为。

恶意软件是指那些带有不良功能或有害目的的软件程序,可以在用户不知情的情况下安装在计算机或移动设备上,并在运行时对系统或用户数据进行损害或窃取。

恶意软件的定义可细分为多种类型,包括计算机病毒、蠕虫、木马、间谍软件等。

计算机病毒是一种通过感染其他程序并利用它们来传播自身的软件;蠕虫是一种能自我复制并传播到网络上多台计算机的恶意软件;木马则是一种假扮成普通程序,实际上在背后执行恶意操作的软件;间谍软件则是一种用于监控用户活动、窃取个人信息的程序。

恶意软件的定义是指那些不受用户控制,对计算机系统或用户隐私造成危害的恶意软件程序。

对于网络安全而言,恶意软件是一个极具威胁性的存在,需要引起重视并采取相应的防范和检测措施。

1.2 恶意软件的分类恶意软件按其特征和行为可以分为多种类型。

常见的恶意软件包括病毒、蠕虫、木马、间谍软件、广告软件等。

病毒是一种依赖于宿主文件传播的恶意软件,它会感染正常文件并在用户运行该文件时激活。

蠕虫是一种独立的恶意软件,可以自我复制并传播到其他系统。

木马是一种伪装成正常程序的恶意软件,可以偷取用户信息或控制系统。

间谍软件可以监视用户的行为并窃取敏感信息。

广告软件则会在用户设备上展示大量弹窗广告,影响用户体验。

除了以上常见的分类外,恶意软件还可以根据其传播途径进行分类,比如通过邮件、网络下载、USB等途径传播的恶意软件。

还有一些高级的恶意软件,如勒索软件、APT(高级持续性威胁)等,它们具有更复杂的攻击手段和目的。

在网络安全领域,了解各种类型的恶意软件及其特点对于有效防范和检测恶意软件行为具有重要意义。

对恶意软件的分类及行为特征有清晰的了解是网络安全工作者的首要任务之一。

1.3 恶意软件的危害恶意软件的危害是多方面的,首先恶意软件可以对个人用户的信息造成泄露和损害。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
A.框架挂马
(md5:917284A57C7DC5D7978437C5215468 CB)
B.内嵌不可见swf
(md5:10E3B7F131EBDD680FB123E7310800 C5)
C.堆喷射
(md5:FC53B928745E6064CC4ED2D6AD48 D50E)
D.特定ClassId、特定函数名
写MBR

修改文件关联 卸载其他进程模块 键盘记录、屏幕截图 …… 最终目的行为

盗取游戏帐号、装备等虚拟财产 盗取金钱(网银、第三方支付) 刷流量、打广告、做推广 文档等机密信息盗窃 破坏、恶作剧 技术炫耀、个性张扬 ……
二、PE病毒分析
1.文件静态信息预判 2.行为分析 3.简单检测方案
隐藏文件 隐藏注册表
隐藏进程
隐藏代码 隐藏网络行为
……
自删除
僵尸进程 有目的的进攻(APT)
消除入侵痕迹
C.病毒自保行为
枚举进程列表
结束安全软件
枚举安全软件窗口 攻击安全软件窗口 SFC 端口复用
修改防火墙规则
修改安全软件的注册表、文件、配置
3.简单检测方案
传统特征码பைடு நூலகம்描
静态信息、动态行为信息启发
云 智能主动防御(实时监控) XueTr(XT)类ARK信息收集判定(事后检
测) 网络特征检测(联网行为恶意程序)
三、PDF病毒分析
1.PDF格式介绍 2.文件静态信息预判 3.行为分析
4.检测方案
1.PDF格式介绍
解密跟踪(Mdecoder、Freshow、
PMSWalker)
3.检测方案
预处理、传统特征码比对
静态信息启发检测
部分漏洞可算法扫描检测 脚本虚拟机检测
五、其它病毒分析
LNK病毒分析
Flash病毒分析
Android病毒分析 BIOS病毒分析 ……
六、总结
D.病毒其他行为
释放PE文件
添加启动项
添加服务 劫持服务路径 Dll劫持 提升权限
拷贝文件到系统目录
全局钩子
加载驱动 联网下载
运行新进程
安装SPI
远线程注入
写其它进程内存 注册组件
改IE配置
枚举局域网资源
扫描网络(共享目录)
寄存器异常
(md5:7961119D5E4B518AB81F99F67B90ED 00)
(md5: A99C1D66942FFC26498AA8FA2AF059EB,刚 分析过的病毒 )
是否为僵尸进程? UnmapViewOfFile 是否为注入型病毒?
WriteProcessMemory
二、PE病毒分析
1.文件静态信息预判 2.行为分析 3.简单检测方案
2.行为分析
A.行为分析方法 B.病毒隐身行为 C.病毒自保行为
D.病毒其他行为
A.行为分析方法
HIPS等行为监控软件 沙箱、在线分析系统 IDA+Debugger 反病毒类模拟器(虚拟机)
很多恶意程序文件静态特征比较明显
不同类型病毒,需不同的分析方法
都可以有较智能的检测方案

Q? 致谢
感谢各位 感谢会议主办方
RorDbg应用一例 (md5:411A86CE94EF59EFCEC43C88B9E40F E7)
XueTr分析灰鸽子
(md5:81B5AE35ECF44684223FA063A069ABA 1)
B.病毒隐身行为
设置隐藏属性、修改文件时间
Rootkit、Bootkit性质隐身技术
A99C1D66942FFC26498AA8FA2AF059EB )
(md5: 411A86CE94EF59EFCEC43C88B9E40FE7 )
(md5:
62D6CD8A4FB183FEC8A68C7B2AB29AE7 )
G.IDA反汇编
(md5:296E04ABB00EA5F18BA021C34E48674 6)
恶意程序分析
作者:姚纪卫(linxer) 邮箱:linxer@
目录
概述、分类
PE病毒分析
PDF病毒分析 HTML病毒分析 其他病毒分析 总结
一、概述、分类
1.恶意程序定义:破坏、盗窃、传播等
2.分析工具:Ollydbg、Windbg、IDA、 Vmware、010Editer、HIPS类监控软件、 XueTr(简称XT)类ARK工具 、VT等 3.分类:一种是按文件格式分类(PE、PDF、 OLE2、Flash、HTML等)
算法扫描
CVE-2009-3459 解析/ Colors CVE-2010-2883 解析TrueType CVE-2011-2462 解析U3D ……
基于静态、动态信息的启发检测
四、HTML病毒分析
1.文件静态信息预判 2.行为分析 3.检测方案
1.文件静态信息预判
用(md5:
7CDEDA04AE10F5486BB947A521DE8BE4) 文件演示
2.文件静态信息预判
A.OpenAction+JS(md5:
7CDEDA04AE10F5486BB947A521DE8BE4 )
B.OpenAction+Exe(md5:
99A783EFF51F822D5C4AF9BA89051DFE )
B.版本信息随机化(md5: B17691741CBC89DF1CAB72437372471E)
C1.可能的Exe、 Dll相互伪装(md5: 823BCDC05B3A7CA69206637EDAB2E5A1 )
C2.Exe、Dll同文件(某特别木马)
D.额外数据(md5: 78660BB390863BF2EB975212188C7FC9 )
C.AcroForm+XFA+FlateDecode+EmbeddedFi le(md5: 01DA098D8B494E86FF912526A6AE8821 )
3.行为分析
堆喷射(JS脚本)
溢出(文件格式解析)
能触发漏洞PDF阅读器+Debugger
4.检测方案
传统特征码检测
基于虚拟机的调试器
XT类ARK工具
HIPS类监控软件(md5:
81B5AE35ECF44684223FA063A069ABA1)
在线分析系统
(md5:1F75769924B056F7C099EAEA7E1672B4)
IDA分析 (md5:1F75769924B056F7C099EAEA7E1672B4)
4.重点讲解:PE、PDF、HTML类型恶意程

二、PE病毒分析
1.文件静态信息预判 2.行为分析 3.简单检测方案
1.文件静态信息预判(实例讲解 )
A1.伪装微软文件版本信息(md5:
42B56153433C7C8ED219AF41452F7D1C )
A2.伪装成微软文件 (某特别木马)
占用安全软件需要使用的系统资源 IFEO安全软件
禁止任务管理器等运行
禁止Windows安全中心的一些项目
加壳、伪装
Anti-Debug、Anti-Trace、Anti-VM 变形、加密、入口点模糊
畸形文件路径、畸形注册表路径
符号链接
Rootkit、Bootkit性质自保技术 ……
E.加壳 、PE头部信息
(md5:
E91F5323A8AE52B8B66F31DA7D021D42 )
(md5: BDB91900182FB1D941F54C980B9B9907 )
(md5:
E2F0D3E2781650E7DDF6422F7D4D2534 )
F.导入表
(md5:
(md5:84CD55DB9D8CF4B21CE3E512125ED 28D)
E.加密
(md5:7DDCA33C5D1B421C623D1B102A93C 6B9)
2.行为分析
堆喷射
利用第三方控件漏洞(溢出、调用接口覆 盖文件等)
溢出、执行Shellcode
能触发漏洞的HTML解析器+Debugger