介绍几种病毒样本分析格式并提出我们自己的分析策略

数种病毒样本格式:

1卡巴斯基式病毒分析

详细到骨子里.有意图分析和模板关系.编写者特征等.IP溯源家常便饭.

2金山火眼式

  1. 基本信息
  2. 火焰点评
  3. 危险行为
  4. 其它行为
    1. 行为描述
    2. 附加信息
  5. 注册表监控
  6. 网络监控

值得注意的是火眼使用最多两种哈希来确定一个样本.当然你可以使用其一.

3Comodo(毛豆)在线分析式

这是一张典型的使用毛豆进行扫描的结果:

Comodo的通过SHA256来进行样本查询操作:

4.SysTracer的监控报告

这里应该简单介绍一下SysTracer,它是一款行为追踪监控程序.”丧心病狂”地使用了大量的钩子:Shadow SSDT的667个函数全部被钩,SSDT也未能”幸免”,总共284个函数除了NtAcceptConnectPort,NtAddAtom,NtDeviceIoControlFile,NtYieldExecution外的280个函数全部被钩.这保证了一般恶意程序的行为会被完整地记录下来.

值得注意的一点是,以往的跟踪经验发现互斥对象的建立并没有被SysTracer记录.此外由于机制所限对于内核程序的行为SysTracer就素手无策了.

以下是它的监控报告:

如你所见,它将样本创建的不同进程的行为分门别类进行叙述.便于反病毒工程师对样本的行为的清晰了解.如果再加上树形图怎么样?

我们该如何去做

首先我们应当对恶意程序进行归类.

1危害性

远程控制端是否有效?还是这只是一个遗失的定时炸弹?

一个失控的程序后门意味任何一个恶意者都可能利用这里控制恶意程序继续对用户信息安全带来威胁.

2技术实力-程序的自我保护与复杂程度

对方是否使用了行之有效的规避杀软的手法?或者最新漏洞的利用?

强势的自我保护通常是为了掩盖更多的信息.也以为这制作者的团队规模非同寻常.这往往伴随着大量的机器被感染并可能组成僵尸网络.

这样的程序值得我们去用卡巴斯基式分析去探究.以使我们对样本研究给其它反病毒工程师提供更多信息.

版权声明:本文为博主原创文章,未经博主允许不得转载。

时间: 2024-10-03 03:56:44

介绍几种病毒样本分析格式并提出我们自己的分析策略的相关文章

如何在现有复杂网络上建立隔离网提供病毒样本分析,且不蔓延内网。

目前安全厂家及安全公司都有病毒样本分析及恶意程序分析的研究的必要性,大家都采用的大同小异的方式. 各位安全研究员先生无关乎用了以下几种方式,我讲的几种方式中还有几种至少博主所在的公司人不了解还没有在用,言归正传,为了下文的正式展开我先列举当前研究的几种方式: 一.利用杀软的隔离区 缺点:如果内容太多,大约有50个G,用虚拟磁盘不太现实,用杀软的隔离区更不行.我想补充如下几点问题:1.如用虚拟机,我会选择在虚拟机中装linux系统,再把病毒放进去.那么文件太多,整理.传输太慢,调用也不方便(如果不

inux操作系统下手动分析病毒样本技巧

原理:利用md5值的不同进行文件的对比. 操作背景: 1. XP安装光盘: 2. 病毒样本: 3. U盘: 4. Ubuntu 7.10 LiveCD 5.所需的几个对比md5和转化二进制文件格式的程序 操作过程: 1. 全盘格式化,同时安装Windows(也可采用ghost回去,但是一定注意其他磁盘可能的病毒感染) 2. 在刚装好的Windows下,导出注册表.将导出文件放入C盘根目录下.这里我命名为1.reg 3. 进入Ubuntu系统,注意,进入前f2选择简体中文模式 4. 挂载C盘: m

机器狗病毒样本 穿透冰和点还原卡

目前网上流传一种叫做机器狗的病毒,此病毒采用hook系统的磁盘设备栈来达到穿透目的的,危害极大,可穿透目前技术条件下的任何软件硬件还原!基本无法靠还原抵挡.目前已知的所有还原产品,都无法防止这种病毒的穿透感染和传播. 顺便说一句,这个病毒从技术上来说,可以大胆的猜测应该是还原业内人士开发研制的,这种技术的应用极为少见,且如果精通这种技术的高手要做病毒不会用这种hook系统的磁盘设备栈的方式,完全可以有更强更好的方式达到彻底毁灭还原行业的方法:所以这个病毒应该是针对现在99%还原产品做的病毒,以达

结合Scikit-learn介绍几种常用的特征选择方法

作者:Edwin Jarvis 特征选择(排序)对于数据科学家.机器学习从业者来说非常重要.好的特征选择能够提升模型的性能,更能帮助我们理解数据的特点.底层结构,这对进一步改善模型.算法都有着重要作用. 特征选择主要有两个功能: 减少特征数量.降维,使模型泛化能力更强,减少过拟合 增强对特征和特征值之间的理解 拿到数据集,一个特征选择方法,往往很难同时完成这两个目的.通常情况下,我们经常不管三七二十一,选择一种自己最熟悉或者最方便的特征选择方法(往往目的是降维,而忽略了对特征和数据理解的目的).

干货:结合Scikit-learn介绍几种常用的特征选择方法

原文  http://dataunion.org/14072.html 主题 特征选择 scikit-learn 作者: Edwin Jarvis 特征选择(排序)对于数据科学家.机器学习从业者来说非常重要.好的特征选择能够提升模型的性能,更能帮助我们理解数据的特点.底层结构,这对进一步改善模型.算法都有着重要作用. 特征选择主要有两个功能: 减少特征数量.降维,使模型泛化能力更强,减少过拟合 增强对特征和特征值之间的理解 拿到数据集,一个特征选择方法,往往很难同时完成这两个目的.通常情况下,我

五种常用的图片格式及其是否有数据压缩的总结

五种常用的图片格式及其是否有数据压缩的总结 声明:引用请注明出处http://blog.csdn.net/lg1259156776/ 说明:本文主要介绍五种最常见和最常用的图像格式:BMP,PNG,JPEG,JPEG200,以及GIF.在进行图像处理相关应用之前第一步首先是能够读取这些图像文件,虽然很多开发工具支持库比如OpenCV等已经帮助节省了这些工作的麻烦,便利的同时也使得开发人员不再熟悉这些基本的图像格式.本文的作用就在于将这五种常用的图像格式进行分条叙述,方便查阅. 内容借鉴主流图片格

几种支持动作模型格式的比较(MD2,MD5,sea3d) 【转】

最近使用了几种不同的模型格式做人物动作的表现,记录一下优缺点 1) MD2 数据内容: 记录了所有动作顶点数据 数据格式: 二进制 动作文件: 动作文件合并在一个模型文件 文件大小: 动作多时很大 占用内存: 很多 初始化速度: 快 模型与贴图: 分离,需要人工控制贴图加载和处理 2)MD5 数据内容: 骨骼数据记录 数据格式: 字符串 动作文件: 动作文件与原始模型独立 文件大小: 动作多时很大,不过由于是字符串格式, 所以可以用zip压缩获得较大的压缩比 占用内存: 很小 初始化速度: 由于

实例365(8)---------三种方法将字符串格式化为日期

一:DateTime.ParseExact方式,截图 二:代码 using System; using System.Collections.Generic; using System.ComponentModel; using System.Data; using System.Drawing; using System.Linq; using System.Text; using System.Windows.Forms; namespace ConvertToString { public

介绍几种搭建Dojo环境的方法

Hello World! 的时间到了,在你所学过的众多语言中,哪个不是从此学起的呢?但在此之前,我们要先构建一个开发环境,如同刚开始学习Java的时候,还是需要我们先安装JDK.配置好环境变量等等,HelloWorld才会乖乖的显示在命令行上. 对于脚本类语言,开发环境就是文本编辑器+语言包(dojo.js),对于学习JavaScript来说更简单,只需要有主流浏览器作为支持就够了,浏览器就能来解析它.对于Dojo的开发环境,有以下几类: 介绍几种搭建Dojo环境的方法 下载Dojo文件 在ht