【CISP】安全漏洞与恶意代码(2)

恶意代码自我保护

进程保护

进程守护

超级权限

检测对抗

反动态调试


反静态调试

恶意代码检测技术

特征码扫描

沙箱技术


行为检测

恶意代码分析技术

静态分析

需要实际执行恶意代码,它通过对其二进制文件的分析,获得恶意代码的基本结构和特征,了解其工作方式和机制
动态分析
       在虚拟运行环境中,使用测试及监控软件,检测恶意代码行为,分析其执行流程及处理数据的状态,从而判断恶意代码的性质,并掌握其行为特点。

优点
     不需要运行恶意代码,不会影响运行环境的安全
    可以分析恶意代码的所有执行路径
不足
    随着复杂度的提高,执行路径数量庞大,冗余路径增多,分析效率较低

恶意代码动态分析-程序功能

API使用
文件读写
    新增?
   删除?
   改动?
注册表读写
   新增?
   删除?
   改动?
内核调用

恶意代码动态分析-行为分析

行为分析
本地行为
网络行为
传播方式
运行位置
感染方式
其它结果等

动态分析的特点

优点
     针对性强
    具有较高的准确性
不足
    由于分析过程中覆盖的执行路径有限,分析的完整性难以保证

恶意代码清除技术-感染引导区

清除方式:修复/重建引导区
    从备份修复引导区
    重建主引导区(FDISK /MBR)

恶意代码监测及预警-HoneyPot

时间: 2024-11-03 21:57:28

【CISP】安全漏洞与恶意代码(2)的相关文章

恶意代码分析技巧-汇总

资料:云众可信 恶意代码分析技巧[恶意代码分析技巧]01- 介绍[恶意代码分析技巧]02-exe_python[恶意代码分析技巧]03-java[恶意代码分析技巧]04-exe_VB[恶意代码分析技巧]05-exe_Delphi[恶意代码分析技巧]06-exe_.net[恶意代码分析技巧]07-exe_自动安装[恶意代码分析技巧]08-文档宏病毒[恶意代码分析技巧]09-文档漏洞[恶意代码分析技巧]10-脚本[恶意代码分析技巧]11-其他 原文地址:https://www.cnblogs.com

Android漏洞——将Android恶意代码隐藏在图片中

研究人员发现了Android上又一个严重的安全漏洞:将Android恶意代码隐藏在图片中(Hide Android Applications in Images). 在该漏洞向外界公开之前,Google已经发布了补丁.不过,仍然有大量Android手机用户没有选择升级. 恶意程序研究人员Axelle Apvrille和逆向工程师Ange Albertin开发了一种定制的工具AngeCryption(Python脚本)加密恶意程序的APK文件(Android application package

WireShark黑客发现之旅(3)—Bodisparking恶意代码

WireShark黑客发现之旅(3)—Bodisparking恶意代码 聚锋实验室 · 2015/07/21 10:41 作者:Mr.Right.Evancss.K0r4dji 申明:文中提到的攻击方式仅为曝光.打击恶意网络攻击行为,切勿模仿,否则后果自负. 0x00 发现 接到客户需求,对其互联网办公区域主机安全分析.在对某一台主机通信数据进行分析时,过滤了一下HTTP协议. 一看数据,就发现异常,这台主机HTTP数据不多,但大量HTTP请求均为“Get heikewww/www.txt”,问

恶意代码行为

1.下载器和启动器 常见的两种恶意代码是下载器和启动器.下载器从互联网上下载其他的恶意代码,然后在本地系统中运行.下载器通常会与漏洞利用(exploit)打包一起.下载器常用windows API函数URLDownloadtoFileA和WinExec,来下载并运行新的恶意代码. 启动器(也称为加载器)是一类可执行文件,用来安装立即运行或者将来秘密执行的恶意代码,启动器通常包含一个它要加载的恶意代码. 2.后门(bookdoor) 后门是另一种类型的恶意代码,它能让攻击者远程访问一个受害的机器.

恶意代码功能与应对

五.恶意代码功能 (一)恶意代码行为 1.下载器和启动器 下载器:通常会与漏洞利用打包在一起,通过调用URLDownloadtoFileA和WinExec两个api来实现下载并运行其他恶意代码 启动器:通常为可执行文件,用来安装立即运行或将来秘密执行的恶意代码,通常包含一段它所运行的恶意代码 2.后门:是攻击者远程访问受害机器 通常由一套通用的功能:操作注册表.列举窗口.创建目录.搜索文件等 通常也会涉及网络通信,最长使用80端口的http协议 (1)反向shell:从被感染的机器上发起一个连接

恶意代码分析实战

恶意代码分析实战(最权威的恶意代码分析指南,理论实践分析并重,业内人手一册的宝典) [美]Michael Sikorski(迈克尔.斯科尔斯基), Andrew Honig(安德鲁.哈尼克)著   <恶意代码分析实战>是一本内容全面的恶意代码分析技术指南,其内容兼顾理论,重在实践,从不同方面为读者讲解恶意代码分析的实用技术方法. <恶意代码分析实战>分为21章,覆盖恶意代码行为.恶意代码静态分析方法.恶意代码动态分析方法.恶意代码对抗与反对抗方法等,并包含了 shellcode分析

应对新兴威胁——国都兴业恶意代码综合监控系统发布

近日,国都兴业公司的慧眼恶意代码综合监控系统正式发布.该产品是国都兴业新一代全新应对新形势下网络安全威胁的多维度监控系统,能够实现安全威胁的全生命周期监控,在恶意代码的渗透阶段.潜伏阶段和攻击阶段实现全面监控覆盖,实现对各种高级.复杂的网络威胁与攻击.该技术理念属国内同类产品首创,并处于领先地位. 伴随着中国信息化的高速发展,网络安全形势也日趋复杂,面对着今天各种高级.复杂地安全威胁与攻击,依赖已知特征.规则及行为匹配模式进行检测.监测的传统安全产品(防火墙.IDS/IPS.防病毒网关)已无法应

ProFTPd Local pr_ctrls_connect Vulnerability - ftpdctl 漏洞及攻击代码分析

攻击代码网址:http://www.exploit-db.com/exploits/394/ 1.执行环境: 1.ProFTPD 1.3.0/1.3.0a 2.编译ProFTPD时.--enable-ctrls选项必须打开 ./configure --enable-ctrls 2.执行參数: [email protected]:~# gcc 394.c -o 394 [email protected]:~# ./394 –s <option> [-p <option_path>]

什么是“恶意代码”——————【Badboy】

恶意代码是一种程序,它通过把代码在不被察觉的情况下镶嵌到另一段程序中,从而达到破坏被感染电脑数据.运行具有入侵性或破坏性的程序.破坏被感染电脑数据的安全性和完整性的目的.按传播方式,恶意代码可以分成四类:病毒,木马,蠕虫和移动代码. 一.病毒 病毒一般都具有自我复制的功能,同时,它们还可以把自己的副本分发到其他文件.程序或电脑中去.病毒一般镶嵌在主机的程序中,当被感染文件执行操作的时候,病毒就会自我繁殖(例如:打开一个文件,运行一个程序,点击邮件的附件等).由于设计者的目的不同,病毒也拥有不同的