Enviar pesquisa
Carregar
Practical malware analysis part1 总结
•
0 gostou
•
622 visualizações
H
Huang Toby
Seguir
Practical malware analysis part1 总结
Leia menos
Leia mais
Educação
Denunciar
Compartilhar
Denunciar
Compartilhar
1 de 2
Baixar agora
Baixar para ler offline
Recomendados
Introduction to Mod security session April 2016
Introduction to Mod security session April 2016
Rahul
Php streams and wrappers
Php streams and wrappers
Huang Toby
OWASP ModSecurity Core Rules Paranoia Mode
OWASP ModSecurity Core Rules Paranoia Mode
Christian Folini
恶意网页分析实战
恶意网页分析实战
Huang Toby
mod_security introduction at study2study #3
mod_security introduction at study2study #3
Naoya Nakazawa
Apache安装配置mod security
Apache安装配置mod security
Huang Toby
CloudFlare vs Incapsula vs ModSecurity
CloudFlare vs Incapsula vs ModSecurity
Zero Science Lab
Introduction to Zabbix - Company, Product, Services and Use Cases
Introduction to Zabbix - Company, Product, Services and Use Cases
Zabbix
Recomendados
Introduction to Mod security session April 2016
Introduction to Mod security session April 2016
Rahul
Php streams and wrappers
Php streams and wrappers
Huang Toby
OWASP ModSecurity Core Rules Paranoia Mode
OWASP ModSecurity Core Rules Paranoia Mode
Christian Folini
恶意网页分析实战
恶意网页分析实战
Huang Toby
mod_security introduction at study2study #3
mod_security introduction at study2study #3
Naoya Nakazawa
Apache安装配置mod security
Apache安装配置mod security
Huang Toby
CloudFlare vs Incapsula vs ModSecurity
CloudFlare vs Incapsula vs ModSecurity
Zero Science Lab
Introduction to Zabbix - Company, Product, Services and Use Cases
Introduction to Zabbix - Company, Product, Services and Use Cases
Zabbix
11/14王團研究室—安全大師王團論毒 in台中
11/14王團研究室—安全大師王團論毒 in台中
T客邦
恶性代码和分析方案
恶性代码和分析方案
Youngjun Chang
調試器原理與架構
調試器原理與架構
hackstuff
Malware Analysis - Basic and Concept
Malware Analysis - Basic and Concept
Julia Yu-Chin Cheng
由一个简单的程序谈起――之六(精华)
由一个简单的程序谈起――之六(精华)
yiditushe
Upload attack framework
Upload attack framework
insight-labs
Malware classification and traceability
Malware classification and traceability
Canaan Kao
A DIY Botnet Tracking System
A DIY Botnet Tracking System
log0
读者借阅历史查询系统设计与实现
读者借阅历史查询系统设计与实现
sugeladi
11/21王團研究室—火線殺毒完全攻略—菁英課程:2010防毒新趨勢
11/21王團研究室—火線殺毒完全攻略—菁英課程:2010防毒新趨勢
T客邦
Rpc调试通用
Rpc调试通用
geeksec80
Recycle Open Source Projects
Recycle Open Source Projects
George Ang
2006 recycle opensourceprojects
2006 recycle opensourceprojects
George Ang
HITCON GIRLS 成大講座 基礎知識(蜘子珣)
HITCON GIRLS 成大講座 基礎知識(蜘子珣)
HITCON GIRLS
99 第六屆國際健康資訊管理研討會簡報botnet
99 第六屆國際健康資訊管理研討會簡報botnet
Shi-Hwao Wang
安博士Asec 2010年9月安全报告
安博士Asec 2010年9月安全报告
ahnlabchina
卡巴斯基個人版 7.0導覽
卡巴斯基個人版 7.0導覽
briian
Rsa2012 下一代安全的战略思考-绿盟科技赵粮
Rsa2012 下一代安全的战略思考-绿盟科技赵粮
NSFOCUS
開放原始碼的回收與再利用
開放原始碼的回收與再利用
建興 王
第1章 概论
第1章 概论
tjpucompiler
educ6506presentationtc3302771-240427173057-06a46de5.pptx
educ6506presentationtc3302771-240427173057-06a46de5.pptx
mekosin001123
泽兰应用科学大学毕业证制作/定制国外大学录取通知书/购买一个假的建国科技大学硕士学位证书
泽兰应用科学大学毕业证制作/定制国外大学录取通知书/购买一个假的建国科技大学硕士学位证书
jakepaige317
Mais conteúdo relacionado
Semelhante a Practical malware analysis part1 总结
11/14王團研究室—安全大師王團論毒 in台中
11/14王團研究室—安全大師王團論毒 in台中
T客邦
恶性代码和分析方案
恶性代码和分析方案
Youngjun Chang
調試器原理與架構
調試器原理與架構
hackstuff
Malware Analysis - Basic and Concept
Malware Analysis - Basic and Concept
Julia Yu-Chin Cheng
由一个简单的程序谈起――之六(精华)
由一个简单的程序谈起――之六(精华)
yiditushe
Upload attack framework
Upload attack framework
insight-labs
Malware classification and traceability
Malware classification and traceability
Canaan Kao
A DIY Botnet Tracking System
A DIY Botnet Tracking System
log0
读者借阅历史查询系统设计与实现
读者借阅历史查询系统设计与实现
sugeladi
11/21王團研究室—火線殺毒完全攻略—菁英課程:2010防毒新趨勢
11/21王團研究室—火線殺毒完全攻略—菁英課程:2010防毒新趨勢
T客邦
Rpc调试通用
Rpc调试通用
geeksec80
Recycle Open Source Projects
Recycle Open Source Projects
George Ang
2006 recycle opensourceprojects
2006 recycle opensourceprojects
George Ang
HITCON GIRLS 成大講座 基礎知識(蜘子珣)
HITCON GIRLS 成大講座 基礎知識(蜘子珣)
HITCON GIRLS
99 第六屆國際健康資訊管理研討會簡報botnet
99 第六屆國際健康資訊管理研討會簡報botnet
Shi-Hwao Wang
安博士Asec 2010年9月安全报告
安博士Asec 2010年9月安全报告
ahnlabchina
卡巴斯基個人版 7.0導覽
卡巴斯基個人版 7.0導覽
briian
Rsa2012 下一代安全的战略思考-绿盟科技赵粮
Rsa2012 下一代安全的战略思考-绿盟科技赵粮
NSFOCUS
開放原始碼的回收與再利用
開放原始碼的回收與再利用
建興 王
第1章 概论
第1章 概论
tjpucompiler
Semelhante a Practical malware analysis part1 总结
(20)
11/14王團研究室—安全大師王團論毒 in台中
11/14王團研究室—安全大師王團論毒 in台中
恶性代码和分析方案
恶性代码和分析方案
調試器原理與架構
調試器原理與架構
Malware Analysis - Basic and Concept
Malware Analysis - Basic and Concept
由一个简单的程序谈起――之六(精华)
由一个简单的程序谈起――之六(精华)
Upload attack framework
Upload attack framework
Malware classification and traceability
Malware classification and traceability
A DIY Botnet Tracking System
A DIY Botnet Tracking System
读者借阅历史查询系统设计与实现
读者借阅历史查询系统设计与实现
11/21王團研究室—火線殺毒完全攻略—菁英課程:2010防毒新趨勢
11/21王團研究室—火線殺毒完全攻略—菁英課程:2010防毒新趨勢
Rpc调试通用
Rpc调试通用
Recycle Open Source Projects
Recycle Open Source Projects
2006 recycle opensourceprojects
2006 recycle opensourceprojects
HITCON GIRLS 成大講座 基礎知識(蜘子珣)
HITCON GIRLS 成大講座 基礎知識(蜘子珣)
99 第六屆國際健康資訊管理研討會簡報botnet
99 第六屆國際健康資訊管理研討會簡報botnet
安博士Asec 2010年9月安全报告
安博士Asec 2010年9月安全报告
卡巴斯基個人版 7.0導覽
卡巴斯基個人版 7.0導覽
Rsa2012 下一代安全的战略思考-绿盟科技赵粮
Rsa2012 下一代安全的战略思考-绿盟科技赵粮
開放原始碼的回收與再利用
開放原始碼的回收與再利用
第1章 概论
第1章 概论
Último
educ6506presentationtc3302771-240427173057-06a46de5.pptx
educ6506presentationtc3302771-240427173057-06a46de5.pptx
mekosin001123
泽兰应用科学大学毕业证制作/定制国外大学录取通知书/购买一个假的建国科技大学硕士学位证书
泽兰应用科学大学毕业证制作/定制国外大学录取通知书/购买一个假的建国科技大学硕士学位证书
jakepaige317
EDUC6506_ClassPresentation_TC330277 (1).pptx
EDUC6506_ClassPresentation_TC330277 (1).pptx
mekosin001123
哪里可以购买日本筑波学院大学学位记/做个假的文凭可认证吗/仿制日本大学毕业证/意大利语CELI证书定制
哪里可以购买日本筑波学院大学学位记/做个假的文凭可认证吗/仿制日本大学毕业证/意大利语CELI证书定制
jakepaige317
1.🎉“入侵大学入学考试中心修改成绩”来袭!ALEVEL替考大揭秘,轻松搞定考试成绩! 💥你还在为无法进入大学招生系统而烦恼吗?想知道如何通过技术手段更改...
1.🎉“入侵大学入学考试中心修改成绩”来袭!ALEVEL替考大揭秘,轻松搞定考试成绩! 💥你还在为无法进入大学招生系统而烦恼吗?想知道如何通过技术手段更改...
黑客 接单【TG/微信qoqoqdqd】
EDUC6506(001)_ClassPresentation_2_TC330277 (1).pptx
EDUC6506(001)_ClassPresentation_2_TC330277 (1).pptx
mekosin001123
Último
(6)
educ6506presentationtc3302771-240427173057-06a46de5.pptx
educ6506presentationtc3302771-240427173057-06a46de5.pptx
泽兰应用科学大学毕业证制作/定制国外大学录取通知书/购买一个假的建国科技大学硕士学位证书
泽兰应用科学大学毕业证制作/定制国外大学录取通知书/购买一个假的建国科技大学硕士学位证书
EDUC6506_ClassPresentation_TC330277 (1).pptx
EDUC6506_ClassPresentation_TC330277 (1).pptx
哪里可以购买日本筑波学院大学学位记/做个假的文凭可认证吗/仿制日本大学毕业证/意大利语CELI证书定制
哪里可以购买日本筑波学院大学学位记/做个假的文凭可认证吗/仿制日本大学毕业证/意大利语CELI证书定制
1.🎉“入侵大学入学考试中心修改成绩”来袭!ALEVEL替考大揭秘,轻松搞定考试成绩! 💥你还在为无法进入大学招生系统而烦恼吗?想知道如何通过技术手段更改...
1.🎉“入侵大学入学考试中心修改成绩”来袭!ALEVEL替考大揭秘,轻松搞定考试成绩! 💥你还在为无法进入大学招生系统而烦恼吗?想知道如何通过技术手段更改...
EDUC6506(001)_ClassPresentation_2_TC330277 (1).pptx
EDUC6506(001)_ClassPresentation_2_TC330277 (1).pptx
Practical malware analysis part1 总结
1.
Practical malware analysis
Part1 总结 --youstar 2012.03.23 0x1 题外话 从去年看到这本书目录的时候就就期待这本书,前段时间一直比较忙没机会阅读这本书, 现在可以每天抽点时间来阅读这本好书了,以此做下笔记监督自己,总结出一套适合自己的 恶意代码分析方案。 总体来说,这本书从最基础的恶意代码分析开始到高难度的技巧分析,概括了恶意代码 的各个方面。虽然原来自己也有一些分析恶意代码,但是看了这本书之后才发现作者思维的 缜密和广度,不得不佩服。 0x2 Part0 简介 本书第 0 部分主要针对恶意代码的目的、分析方法和恶意代码类型进行阐述,可以对这 个技术进行一个整体的认识。 恶意代码的分析方法主要有: 1) 初级静态分析 2) 初级动态分析 3) 高级静态分析 4) 高级动态分析 恶意代码分析中需要注意的几个细节: 1) 不要过于纠结细节。 2) 不同的样本可能会需要不同的工具进行分析,灵活更换工具。 3) 试着从编写者角度考虑,分析过程本来就是一个猫捉老鼠的游戏。 (接下来的章节就是从分析方法种类进行章节讲解。 ) 0x3 Part1 初级分析 初级分析主要分为初级静态分析和初级动态分析。 先总结下静态分析需要从哪些方面进行关注:杀毒软件查杀、文件 MD5、编程语言、 加壳与否、输入/出表关键函数、字符串、资源这些方面进行分析,一般步骤如下: 1) 可以上传到 virustotal 网站进行在线扫描,看是否是较老的样本了。 2) 查看文件 MD5、hash 值,谷歌看看。 3) PEID 查看文件是否编程语言、加壳与否、输入表和输出表关键函数(涉及到文件、 注册表、网络等方面 API 函数) 。 4) 用 string.exe 查看文件中的字符串。 5) 如果有资源文件,可以用 Resource Hacker 查看是否有额外的 PE 文件等。
2.
通过以上的分析大概确定文件的大致功能,具体的操作需要结合动态分析了。下面讨论 下初级动态分析的方法: 初级动态分析需要从文件操作、网络活动、注册表操作进行监控分析。可以采用
sandbox 进行分析,但是推荐采用虚拟机快照方式进行分析,主要工具如下: 分析步骤: 1) 运行 Process Explorer、procmon、Wireshark 程序。 2) 利用 Regshot 抓取第一次注册表快照,利用 ApateDNS 把所有域名链接全部转为本 地,并用 NC 监听 80 和 443 端口。 3) 运行样本程序。 4) 通过 ApateDNS 查看网络情况、Regshot 抓取第二次快照并对比分析。 5) 结合 Process Explorer、procmon 和静态分析结果进行详细分析。 这个只是个大体过程,在实际分析中肯定还有一些其他的技巧,可以结合作者在每个 part 后面的 lab 进行练习。
Baixar agora