介绍数种病毒样本分析格式归纳分析策略
来源:互联网 发布:零售业大数据时尚 编辑:程序博客网 时间:2024/04/30 00:23
数种病毒样本格式:
1卡巴斯基式APT分析
详细到骨子里.有意图分析和模块关系.编写者特征等.IP溯源家常便饭.
2金山火眼式
- 基本信息
- 火焰点评
- 危险行为
- 其它行为
- 行为描述
- 附加信息
- 注册表监控
- 网络监控
值得注意的是火眼使用最多两种哈希来确定一个样本.当然你可以使用其一.
3Comodo(毛豆)在线分析式
这是一张典型的使用毛豆进行扫描的结果:
Comodo的通过SHA256来进行样本查询操作:
4.SysTracer的监控报告
这里应该简单介绍一下SysTracer,它是一款行为追踪监控程序.”丧心病狂”地使用了大量的钩子:Shadow SSDT的667个函数全部被钩,SSDT也未能”幸免”,总共284个函数除了NtAcceptConnectPort,NtAddAtom,NtDeviceIoControlFile,NtYieldExecution外的280个函数全部被钩.这保证了一般恶意程序的行为会被完整地记录下来.
值得注意的一点是,以往的跟踪经验发现互斥对象的建立并没有被SysTracer记录.此外由于机制所限对于内核程序的行为SysTracer就素手无策了.
以下是它的监控报告:
如你所见,它将样本创建的不同进程的行为分门别类进行叙述.便于反病毒工程师对样本的行为的清晰了解.如果再加上树形图怎么样?
分析
反APT式分析需要大量具有相关反APT专业知识的反病毒工程师的加入.因此不适合普通恶意程序的分析.但是人工经验可以总结以使机器对普通恶意程序的分析也能做到部分效果.例如对恶意程序作者的编程指纹提取.如果做到机器分析更有助于所谓的对程序作者定位.
我们该如何去做
首先我们应当对恶意程序进行归类.
1危害性
远程控制端是否有效?还是这只是一个遗失的定时炸弹?
一个失控的程序后门可能意味任何一个恶意者都可能利用这里控制恶意程序继续对用户信息安全带来威胁.
2技术实力-程序的自我保护与复杂程度
对方是否使用了行之有效的规避杀软的手法?或者最新漏洞的利用?
强势的自我保护通常是为了掩盖更多的信息.也意味着制作者的团队规模非同寻常.这往往伴随着大量的机器被感染甚至可能组成僵尸网络.
这样的程序值得我们去用卡巴斯基式分析去探究.以使我们对样本研究给其它反病毒工程师提供更多信息.
- 介绍数种病毒样本分析格式归纳分析策略
- 简单病毒样本分析
- 病毒样本分析小结
- Android病毒样本分析(1)
- Android病毒样本分析(2)
- Android病毒样本分析(3)
- Android病毒样本分析(4)
- Python 进行病毒样本特征分析
- 病毒分析报告-样本MD5 : 1576C10BD588D5EC4F22D43ED83FD2D0
- 病毒分析报告-样本MD5:7BF49CD89EAEF7FBAD1151D2B1BD9126
- 昨日的病毒简单分析了下【附Bin样本】
- Android简单病毒分析(样本名:百变气泡)
- 关于VisualStudio性能分析数据中的独占样本数和非独占样本数的意义
- 关于VisualStudio性能分析数据中的独占样本数和非独占样本数的意义
- 关于VisualStudio性能分析数据中的独占样本数和非独占样本数的意义
- 关于VisualStudio性能分析数据中的独占样本数和非独占样本数的意义
- 关于VisualStudio性能分析数据中的独占样本数和非独占样本数的意义
- 关于VisualStudio性能分析数据中的独占样本数和非独占样本数的意义
- POJ 1519 && HDU 1013 Digital Roots(数论)
- CSU 1559
- makefile的VPATH和vpath
- 日经社説 20150717 新競技場の見直しは当然だ
- 获取两个日期之间的间隔天数
- 介绍数种病毒样本分析格式归纳分析策略
- 【Android Studio快捷键】之导入相应包声明(import packages)
- iOS开发-Day4-C的复习
- 静态内部类、静态变量的加载次数-理解静态内部类实现线程安全的单例模式
- 日经社説 20150717 本音の安保論議で理解深める努力を
- VS2012变化的快捷键
- vs2010中用va助手重命名类 alt+shift+R的注意事项
- 正确使用SVN的步骤,处理提交代码冲突(纯转载)
- solr4.8 高亮查询和配置