完美世界有声小说,魔天记忘语小说

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

惡意樣本基礎(chǔ)分析技巧

本文轉(zhuǎn)載自微信公眾號「Bypass」，作者Bypass。轉(zhuǎn)載本文請聯(lián)系Bypass公眾號。

創(chuàng)新互聯(lián)是專業(yè)的青州網(wǎng)站建設(shè)公司，青州接單;提供成都網(wǎng)站制作、成都網(wǎng)站建設(shè),網(wǎng)頁設(shè)計,網(wǎng)站設(shè)計,建網(wǎng)站,PHP網(wǎng)站建設(shè)等專業(yè)做網(wǎng)站服務(wù);采用PHP框架,可快速的進(jìn)行青州網(wǎng)站開發(fā)網(wǎng)頁制作和功能擴(kuò)展;專業(yè)做搜索引擎喜愛的網(wǎng)站,專業(yè)的做網(wǎng)站團(tuán)隊,希望更多企業(yè)前來合作!

當(dāng)服務(wù)器發(fā)生病毒入侵，使用殺毒軟件檢測到一個惡意程序，你刪除了它。但是過了幾天又發(fā)生了同樣的安全事件，很顯然惡意程序被沒有被清除干凈。我們需要知道這個惡意代碼到底做了什么，如何進(jìn)行有效檢測，才能進(jìn)一步消除它帶來的影響。

本文主要通過幾個簡單的步驟，分享惡意樣本分析的基本方法。

1、多引擎在線病毒掃描

找到了一個惡意樣本程序，通過多病毒引擎進(jìn)行安全掃描，可以幫助你判斷文件是否為惡意程序。

VirSCAN：免費多引擎在線病毒掃描1.02版，支持47個殺毒引擎。

 
 
 
  
  
  https://www.virscan.org/

VirusTotal：一個在線多殺毒引擎掃描的網(wǎng)站，使用70多種防病毒掃描程序進(jìn)行檢測。

 
 
 
  
  
  https://www.virustotal.com/gui/

2、文件哈希值

文件哈希值是惡意代碼的指紋，通過它用來確認(rèn)文件是否被篡改，也可以通過HASH值查找惡意樣本，一般我們也可以使用多種哈希驗證文件的唯一性。

3、查找字符串

通過對程序中的字符串進(jìn)行搜索，從而獲取程序功能提示。

Strings:

 
 
 
  
  
  https://docs.microsoft.com/en-us/sysinternals/downloads/strings

4、病毒查殼

使用PEiD檢測加殼，脫殼過程往往是很復(fù)雜的。

5、PE文件頭

PE文件頭包含了很多比較有用的信息，比如導(dǎo)入/導(dǎo)出函數(shù)、時間戳、資源節(jié)等信息?？赏ㄟ^獲取關(guān)鍵信息，來猜測惡意代碼的功能。

6、云沙箱分析

將惡意樣本上傳到微步云沙箱，通過威脅情報、靜態(tài)和動態(tài)行為分析，以發(fā)現(xiàn)惡意程序存在的異常。

微步云沙箱：

 
 
 
  
  
  https://s.threatbook.cn/

7、動態(tài)行為分析

通過火絨劍對文件行為、注冊表行為、進(jìn)程行為、網(wǎng)絡(luò)行為進(jìn)行分析，捕獲惡意樣本特征。

當(dāng)前名稱：惡意樣本基礎(chǔ)分析技巧
網(wǎng)頁URL：http://fisionsoft.com.cn/article/dphpsji.html

新聞中心

1、多引擎在線病毒掃描