文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布

恶意样本 | 常用恶意软件分析平台

声明:本人坚决反对利用文章内容进行恶意攻击行为,一切错误行为必将受到惩罚,绿色网络需要靠我们共同维护,推荐大家在了解技术原理的前提下,更好的维护个人信息安全、企业安全、国家安全。...0x01 前言 做为一名网络安全爱好者在日常工作中难免会用到一些恶意软件检测平台,用来分析一些木马样本,例如:钓鱼邮件的恶意样本分析,分析网上下载的工具是否存在木马后门,自己编写了免杀工具查看其免杀效果等...接下来,小编通过网上搜集了一些恶意软件检测的在线平台,总结如下: 0x02 恶意软件检测分析平台 VirSCAN: https://www.virscan.org VirusTotal: https:/...: https://www.maldun.com 微步在线云沙箱: https://s.threatbook.cn 腾讯哈勃分析系统: https://habo.qq.com 奇安信威胁情报中心: https...://ti.qianxin.com 大圣云沙箱检测系统: https://mac-cloud.riskivy.co

3.6K30

恶意样本基础分析技巧

我们需要知道这个恶意代码到底做了什么,如何进行有效检测,才能进一步消除它带来的影响。 本文主要通过几个简单的步骤,分享恶意样本分析的基本方法。...---- 1、多引擎在线病毒扫描 找到了一个恶意样本程序,通过多病毒引擎进行安全扫描,可以帮助你判断文件是否为恶意程序。 VirSCAN:免费多引擎在线病毒扫描1.02版,支持47个杀毒引擎。...2、文件哈希值 文件哈希值是恶意代码的指纹,通过它用来确认文件是否被篡改,也可以通过HASH值查找恶意样本,一般我们也可以使用多种哈希验证文件的唯一性。 ?...可通过获取关键信息,来猜测恶意代码的功能。 ? 6、云沙箱分析 将恶意样本上传到微步云沙箱,通过威胁情报、静态和动态行为分析,以发现恶意程序存在的异常。...微步云沙箱: https://s.threatbook.cn/ ? 7、动态行为分析 通过火绒剑对文件行为、注册表行为、进程行为、网络行为进行分析,捕获恶意样本特征。 ?

2.9K20
    • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    红蓝对抗-Cuckoo 恶意软件分析沙箱部署教程

    Cuckoo Cuckoo(布谷鸟)沙箱是一个开源且免费的自动化的恶意样本分析系统。...,概述该文件在沙箱中执行时的行为,支持分析Windows, macOS, Linux, 和 Android下的恶意文件....当提交样本到cuckoo host后,cuckoo host会调度一个空闲的analysis guest节点,同时将样本传递给所选择的沙箱节点进行自动化分析,分析结束之后将沙箱节点采集到的分析数据进行汇总...等待状态变为reported说明已经分析完成,点击任务可查看分析报告 总结 总体来说cuckoo还是一款比较完善且专业的开源沙箱分析系统, 对于研究分析恶意软件和应急响应人员来说都是一个很不错的选择...稍有差错会导致运行失败 英文界面, 需要使用者具有一定的英语基础 内存分析时间太长, 基本都在半小时左右 更新迭代慢(最新版本为2019年发布) 默认的规则, 样本库对恶意软件的支持较少 对于新的恶意软件需要使用者自己编写

    8.7K10

    负载恶意软件HawkEye的VB Inject样本分析

    0x01 概述 恶意软件HawkEye的利用大多都是通过钓鱼邮件分发,利用office直接启动HawkEye主体或者一些经过加密的程序,本文中的VB Inject属于后者,也把重心放在了调试这个VB程序上...VirusTotal上的该样本信息: ? 病毒名大多为VBKrypt或者VBInject。 0x02 行为监控 ?...用wireshark抓网络行为,发现该样本会访问http://whatismyipaddress.com/,并与yandex邮件服务器建立连接。 ?...0x05 样本主体 在之前的行为监控中,注意到,样本在C:\User\user\AppData\Romaing\目录下生成了三个文件 pid.txt,pidloc.txt,WindowsUpdate.exe...接下来尝试用.NET的反编译工具dnSpy试试。 ? 反编译成功后,发现该程序是恶意软件HawkEye,用于凭据窃取,包括电子邮件Web浏览器,Bitcoin钱包,反病毒检查,键盘记录等。

    1.7K10

    记一次py恶意样本分析实战

    原文链接:https://xz.aliyun.com/news/19111打开py文件,发现样本包含了很长一段的payload,经过多层解压后通过exec来执行代码。...exec是恶意样本常用的命令,典型搭配是先用compile将字节串/字符串编译成可执行对象,再用exec触发执行;常见变体包括:eval/exec混用、getattr(__builtins__, 'exec...Step2-隐藏字符处理下面进入第二部分的分析我们可以通过几种方式验证:输出一下payload的长度;打印hex形式发现确有问题,很多不正常的字符。...compile(..., '', 'exec') 常配合自定义 globals() 污染命名空间,动态执行务必隔离(沙箱/容器/只读FS)。...行为侧:沙箱内记录网络、文件、进程与模块加载轨迹;对可疑 __import__ 重绑定与 sys.modules 操作做钩子与审计。

    53510

    创建简单、免费的恶意软件分析环境

    VirtualBox - 允许欺骗VM底层硬件,通过探测虚拟/物理硬件或固件版本避免恶意软件发现自身位于VM中。免费、设置简单并具备付费系统管理程序的多数功能。...此外,还应记住VM用于恶意软件运行与分析,当试图通过恶意软件感染系统时,弃用存在安全隐患的较老版本操作系统只会适得其反。...这些文件夹中的所有文件都可被VM中的恶意软件轻松窃取、感染或破坏。 不要在联网VM上运行不熟悉的恶意软件样本。恶意软件可通过你的IP地址发动DDoS攻击、入侵计算机、开展金融诈骗活动。...避免在危险区域存储可执行恶意软件样本。建议将这些可能接触到你计算机的文件重命名为不可执行文件(例如.bin或.malware)或存储在不可执行目录下的webserver上。...杀毒软件仍将扫描并删除匹配恶意签名的不可执行恶意软件样本甚至记事本,建议将重要文件夹设置为白名单。

    2K90

    恶意代码分析实战六:熊猫烧香病毒样本分析

    熊猫烧香行为分析 查壳 因为程序肯定是病毒,我就不上传杀毒网去查杀了。正常我们在分析一个未知恶意程序的时候,流程都是要先上传杀毒网看看。...导出表中分析出URLDownload函数,此函数多为下载者恶意程序。 弱口令内网135端口爆破 感染U盘 下载者功能 135弱口令爆破密码。 U盘感染字符串关键字。 恶意下载者函数。...行为分析 进程树监控 这里我们还是用Process Monitor来监控病毒行为,打开Process Monitor,在筛选条件中将“样本.exe”加入到筛选器的“Process Name”中,然后运行病毒...main入口函数 用“倚天剑”IDA Pro载入样本后可以看到如下图: 图1是样本的main函数入口最开始的汇编代码,我们不从第一行汇编代码开始看,因为大部分内容都是Delphi自动生成的,我们只找关键位置来看...,就有分析出样本.exe会把自身拷贝到这个目录,达到伪装隐蔽的效果。

    4.9K20

    创建简单、免费的恶意软件分析环境

    VirtualBox - 允许欺骗VM底层硬件,通过探测虚拟/物理硬件或固件版本避免恶意软件发现自身位于VM中。免费、设置简单并具备付费系统管理程序的多数功能。...虽然对于简单恶意软件分析环境不作要求,但可以通过hifireF0x加载程序强化VirtualBox,防止恶意软件检测到所处的VM环境。...这些文件夹中的所有文件都可被VM中的恶意软件轻松窃取、感染或破坏。 不要在联网VM上运行不熟悉的恶意软件样本。恶意软件可通过你的IP地址发动DDoS攻击、入侵计算机、开展金融诈骗活动。...避免在危险区域存储可执行恶意软件样本。建议将这些可能接触到你计算机的文件重命名为不可执行文件(例如.bin或.malware)或存储在不可执行目录下的webserver上。...杀毒软件仍将扫描并删除匹配恶意签名的不可执行恶意软件样本甚至记事本,建议将重要文件夹设置为白名单。

    2.1K60

    Norimaci:一款针对macOS的轻量级恶意软件分析沙箱

    关于Norimaci  Norimaci是一款针对macOS的轻量级恶意软件分析沙箱,Norimaci使用了OpenBSM和Monitor.app的功能来监控macOS操作系统的活动(没有使用Sysinternals...OpenBSM审计日志转换器 monitorappconv.py : Monitor.app日志转换器 OpenBSM是一个专门用于审计macOS互动的框架,而Monitor.app这是FireEye开发的一款免费工具...我们需要构建一个macOS虚拟机来执行恶意软件样本。...广大研究人员可以使用下列命令将该项目源码克隆至本地: git clone https://github.com/mnrkbys/norimaci.git  工具使用  结合OpenBSM使用 1、使用sudo运行norimaci.py; 2、运行恶意软件样本...1、使用sudo运行norimaci.py; 2、Norimaci启动Monitor.py后输入密码,因为Monitor.app需要密码来安装它的kext文件; 3、运行一个恶意软件样本; 4、等待一段时间

    1.5K10

    沙箱中的恶意软件分析:剖析“Egg-xecutable”的攻击手法

    Advent of Cyber 2025 第6天 | TryHackMe | 恶意软件分析 — Egg-xecutable | WriteUp免责声明: 本文基于 TryHackMe 平台上托管的夺旗挑战赛...恶意软件分析是检查恶意文件以了解其功能、操作方式以及如何防御它的过程。通过分析一个恶意的文件或应用程序,我们可以确切地了解它的运作方式,从而知道如何防范它。例如,恶意文件是否会与攻击者的服务器通信?...恶意文件是否会在机器上留下痕迹?我们可以利用这些痕迹来确定该恶意软件是否曾感染过其他设备。...我们不应惧怕恶意软件,而应采取主动措施,将技术发现转化为实用的防御手段,并理解该恶意软件如何融入攻击者的技术体系中。任务1 引言我拥有访问我的沙箱环境的权限!

    15110

    FireEye发布免费恶意程序分析软件ToolBox

    FireEye刚刚发布了一款软件,这款软件可用于构建完全定制化的虚拟机(VM),其中包含可用于恶意程序分析或其它网络安全相关任务的工具。...这款软件提供了一个平台,包含了全面收集的安全工具,如恶意软件分析,逆向工程,事件响应,取证调查和渗透测试。其中包括反汇编器,调试器,反编译器,静态和动态分析工具,开发工具,漏洞评估和网络分析工具。...一旦安装完成,建议用户创建虚拟机的快照,以保存其安全状态,并将网络设置切换到主机,以防止分析的恶意软件样本连接到本地网络或互联网。 ?...公司发布的博客文章还提供了示例,说明如何使用FLARE VM来分析恶意软件样本。

    1.5K80

    一个Hancitor恶意邮件活动Word文档样本的分析

    与“分析一个用于传播Hancitor恶意软件的Word文档(第一部分)”【https://www.freebuf.com/articles/system/181023.html】一文中描述的现象很相似。...经过对宏文档和PE负载的分析,发现本次样本包含的宏代码与Hancitor文档宏代码有较大的变化,但是通过对内含主要PE负载文件的分析,发现二者基本一致,比如IDA反汇编后形式、代码加密执行、网络通信协议...因此,可基本判定本次恶意邮件攻击属于Hancitor恶意邮件攻击行动。...二、恶意宏分析 打开后,发现宏包含了两个窗体对象UserForm1和UserForm2,并且包含的内容都是“4d5a9000”开头的字符串,很明显这是两个PE文件。 ?...三、结语 与以往宏病毒样本相比,本次恶意宏文档具备如下的几个特点: 1、没有网络下载动作。文档内直接包含恶意负载部分,没有利用类似powershell脚本下载恶意文件。 2、没有直接进程执行动作。

    2.3K10

    实战:一次Python恶意样本“urllib_parser.py”的分析

    解密后的Payload代码分析:#---解密后获得的真实恶意代码---importsubprocessimportthreadingC2_SERVER="http://malicious-c2.com/...threading.Thread(target=info_stealer)t3=threading.Thread(target=persist)t1.start()t2.start()t3.start()三、动态分析在隔离的沙箱环境...(如虚拟机)中运行该样本,并使用监控工具进行观察。...四、恶意行为总结该Python样本urllib_parser.py是一个功能完整的、多模块的恶意软件,其主要恶意行为包括:信息窃取:系统性收集受害主机的敏感信息,包括:系统主机名和用户名。...五、修复与加固建议立即处置:终止样本进程及其衍生的任何Shell进程。从crontab中删除恶意定时任务:crontab-e。彻底删除恶意样本文件/tmp/urllib_parser.py。

    29010

    134_ 移动恶意软件分析技术指南:从样本捕获到行为分析的完整流程

    学习价值与路径 本专题将全面介绍移动恶意软件分析的核心技术和方法,从样本获取到深度分析的完整流程。...取证工具链 (内存取证、网络分析) └── 快照功能 (快速重置分析环境) 第二章 恶意软件样本获取 2.1 样本来源渠道 获取恶意软件样本的合法渠道: 来源 特点 样本质量 威胁情报平台 专业分类,高价值情报...高 安全厂商提供的沙箱 匿名提交,避免法律风险 中高 学术研究机构 经过筛选的研究样本 高 蜜罐系统 实时捕获的新样本 中高 开源恶意软件库 公开可用的已知样本 中 2.2 合法与道德考量 获取和分析恶意软件样本时必须遵守法律和道德规范...4.1 沙箱环境配置 配置用于动态分析的Android沙箱环境: # 使用Android Studio创建模拟器 # 或使用AVD Manager命令行 # 配置模拟器网络代理到分析工具 avdmanager...动态分析 # 在沙箱中安装并运行,监控网络流量和文件系统活动 8.2 案例二:iOS恶意企业证书应用分析 分析一个使用企业证书分发的iOS恶意应用: # 1.

    67710

    病毒分析快速入门(二)--实战QuasarRAT

    前期准备完成,便可以着手进行样本分析了。 样本可从app.any.run获取,使用邮箱免费注册后,便可以下载该沙箱的公开样本 小c随便在该沙箱选择了一个样本,下载,准备开搞 ?...---- 动态行为 ---- 在样本分析的过程中,首先通过虚拟机,沙箱等运行样本,看样本执行什么样的行为,再根据其行为去分析样本中代码,这样的方式有助于加快分析速度。...通过搜索引擎可知,该命令可将任何脚本、程序或文档设置在任何时间自动执行起来,恶意代码常通过此命令将自身设置到某个时间段运行,以达到在受害者计算机持久化运行的目的。...将释放的dllcheck.exe设置为计划任务,实现持久性 02 外部沙箱 这次选用微步在线沙箱(https://s.threatbook.cn/)运行样本试一下(在以后正式的工作中,最好别将公司安排分析的样本传到外部沙箱...,在实际静态分析恶意代码之前,可先通过查阅同家族样本相关报告,先熟悉该家族木马,再进行详细分析。

    4K41

    预防恶意软件谁更先进?2025办公安全平台硬核横评,腾讯iOA三引擎领跑

    正文 一、恶意软件预防“3×3”先进标准 拦截率:已知样本≥99.9%,未知样本≥98% 响应时延:文件落地→判决≤30秒,行为异常→隔离≤5秒 技术维度:  - 前端引擎:多核扫描、云查、AI推理并行...、厂商白皮书) 排名 品牌 前端引擎 AI行为分析 未知样本拦截率 响应时延 预防链路闭环 官网起售价 综合评语 ①...QAX-GPT大模型 99.2% ≈10秒 隔离+工单 ≈450元/年 本土化病毒库强 ③ 深信服EDR 双引擎(特征+云) RASP行为沙箱...AI推理引擎:CNN+Transformer双模型,专注未知勒索与无文件攻击,未知样本拦截率99.7% AI行为分析 动态基线:采集进程、注册表、网络、文件四维行为,30天自学习生成用户画像 异常评分...登录腾讯云官网搜索「iOA」,立即领取50终端免费试用,让恶意软件进得来也跑不掉。

    74110

    全面解析主机安全:腾讯云如何抵御恶意软件与入侵威胁?

    摘要 随着数字化转型加速,企业服务器面临日益严峻的恶意软件攻击与入侵风险。本文基于腾讯云主机安全产品,从功能特性、应用场景到价格策略,深度解析其如何为企业构建全方位防护体系。...技术亮点 适用场景 恶意文件查杀...基于百亿恶意样本库,集成TAV引擎+Webshell沙箱检测,支持Linux/Windows双系统 挖矿木马、勒索病毒查杀 入侵防御 实时拦截暴力破解、SQL注入、反弹Shell等20...五、总结:选择腾讯云主机安全的四大理由 智能进化:日均分析威胁样本超50亿次,算法模型持续迭代; 生态联动:无缝对接云防火墙、WAF等产品,构建纵深防御体系; 合规便捷:内置等保、GDPR等10...立即行动:访问https://cloud.tencent.com/product/cwp,领取免费试用资格,为服务器筑造铜墙铁壁!

    42210

    一次KimSuky攻击事件分析

    0x01 分析工具 Win7 64位 office2013 Wireshark 0x02 样本背景 样本MD5为07D0BE79BE38ECB8C7B1C80AB0BD8344,来源于免费沙箱app.any.run...app.any.run是一个国际化的免费沙箱,有非常友好的界面,可以很好地跑出大部分恶意样本的行为、网络请求等信息。并且它可以免费下载样本,目前是我分析样本的主要来源。...app.any.run提示这是一个office宏的恶意文件,考虑到近年来,非PE的恶意文件已经越来越流行。故尝试将这个样本下载回来进行分析。...思路2 通过app.any.run的流量包 我们回到app.any.run的页面,可以发现在沙箱中,样本是正常与服务器通信,并且保留了流量的,我们直接把数据包下载到本地进行分析和提取。 ?...0x04 总结 至此,样本的分析已经完成,在本次恶意样本分析中,我们可以发现,通常情况下,攻击者特别是定向攻击者,会在实施攻击后的不久就将攻击所使用的服务器给下架。

    1.6K30

    干货分享 | 几种典型勒索病毒事件应对与处置案例

    进一步对告警信息进行深入分析,发现5个恶意文件均通过邮件方式传播,在内部沙箱系统中验证典型行为有:遍历文件、打开服务控制管理器、获取当前用户名、通过脚本文件发送HTTP请求、调用加密算法库等,这些行为表明该恶意文件就是我们一直关注的勒索病毒...以下为其中一起事件中样本行为的沙箱分析: ? 事件处理: 1)发现该攻击事件后,安恒信息的技术人员第一时间通知客户,及时对该邮件和附件进行删除。...客户案例五 事件起源: 5月15日下午,部署在某客户网络中的APT设备发现了一个PDF文件,沙箱分析结果显示行为有溢出成功、使用ShellExecute执行恶意文件等敏感行为,经过进一步分析发现,该PDF...进一步分析发现,都具有溢出成功,使用ShellExecute执行恶意文件等敏感行为,该PDF样本包含一个OpenAction,并直接指向ID:5的JS流,然后进一步通过指定服务器下载恶意程序,对本地文件进行加密操作...主要采用了流量分析技术和沙箱分析技术,从流量中分离下载的文件、传输的邮件附件等,然后再基于APT设备的动态沙箱虚拟执行引擎,可以对js、exe、vbs等各种类型的勒索病毒运行分析,提取其中的关键行为,包括进程行为

    2.8K60

    Any.Run交互式恶意软件分析沙盒服务现向公众免费开放

    近日,名为Any.Run的交互式恶意软件分析沙盒服务宣布,其免费社区版本正式向公众开放。这样一来任何人只需简单的注册一个账号,就可以使用该平台实时的对某个特定文件进行交互式的分析。...Any.Run与其他沙盒分析工具的主要区别在于,Any.Run是完全交互式的。这意味着使用Any.Run你可以上传文件,并在分析文件的同时与沙箱实时交互,而不是传统的上传文件然后等待报告。...“相反,它适用于想要分析需要用户交互的恶意软件,或攻击媒介,新漏洞攻击的PoC和多组件漏洞利用攻击包。 使用Any.Run分析文件 Any.Run的使用非常简单。...正如你所看到的,使用Any.Run可以让你非常轻松地分析恶意软件样本,特别是当你需要某种交互时。 更多特性有待完善 尽管当前的沙盒组件运行看似很完美,但仍有许多不足之处。...在此之前,用户仍将只能访问免费版,但这也足以应付日常的分析任务。

    2K60
    点击加载更多

    相关资讯

    热门标签

    更多标签

    活动推荐

      运营活动

      活动名称
      广告关闭

      腾讯云开发者

      扫码关注腾讯云开发者

      扫码关注腾讯云开发者

      领取腾讯云代金券

      热门产品

      热门推荐

      更多推荐

      Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有

      深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 粤公网安备44030502008569号

      腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号

      领券