首页
学习
活动
专区
工具
TVP
发布

恶意样本 | 常用恶意软件分析平台

声明:本人坚决反对利用文章内容进行恶意攻击行为,一切错误行为必将受到惩罚,绿色网络需要靠我们共同维护,推荐大家在了解技术原理的前提下,更好的维护个人信息安全、企业安全、国家安全。...0x01 前言 做为一名网络安全爱好者在日常工作中难免会用到一些恶意软件检测平台,用来分析一些木马样本,例如:钓鱼邮件的恶意样本分析,分析网上下载的工具是否存在木马后门,自己编写了免杀工具查看其免杀效果等...接下来,小编通过网上搜集了一些恶意软件检测的在线平台,总结如下: 0x02 恶意软件检测分析平台 VirSCAN: https://www.virscan.org VirusTotal: https:/

1.8K30

恶意样本基础分析技巧

我们需要知道这个恶意代码到底做了什么,如何进行有效检测,才能进一步消除它带来的影响。 本文主要通过几个简单的步骤,分享恶意样本分析的基本方法。...---- 1、多引擎在线病毒扫描 找到了一个恶意样本程序,通过多病毒引擎进行安全扫描,可以帮助你判断文件是否为恶意程序。 VirSCAN:免费多引擎在线病毒扫描1.02版,支持47个杀毒引擎。...2、文件哈希值 文件哈希值是恶意代码的指纹,通过它用来确认文件是否被篡改,也可以通过HASH值查找恶意样本,一般我们也可以使用多种哈希验证文件的唯一性。 ?...可通过获取关键信息,来猜测恶意代码的功能。 ? 6、云沙箱分析 将恶意样本上传到微步云沙箱,通过威胁情报、静态和动态行为分析,以发现恶意程序存在的异常。...7、动态行为分析 通过火绒剑对文件行为、注册表行为、进程行为、网络行为进行分析,捕获恶意样本特征。 ?

1.8K20
您找到你想要的搜索结果了吗?
是的
没有找到

恶意样本和威胁情报资源的分享

下面是我平时研究学习恶意样本中的威胁情报的主要来源地方,国外国内的恶意样本分析平台还有很多很优秀的平台以及其他网络渠道(例如github),可以根据自己需要进行恶意样本的获取。...国外恶意样本源 目前很多新的威胁情报都是来源于国外,因此对于各种新攻击手法,可以重点关注国外的恶意样本源,通过下面的6个平台可以获取到恶意样本。...3、https://tria.ge/reports/public 该平台的恶意样本量还有恶意样本的种类还是比较丰富的,同时也有对应的恶意样本的分析报告,可以结合需要进行获取恶意样本。...4、https://www.hybrid-analysis.com/ 该平台对样本分析识别是否为恶意样本,采用AV的检测方案,同时检测的指标还很多,也对恶意样本进行风险评估,并且将样本里面的攻击方案和防护方案都做分析...国内恶意样本源 1、微步在线云沙箱: https://s.threatbook.com/ 这个微步云沙箱平台的恶意样本也是各种类型都有并且样本量也很多,对恶意样本分析也很详细的。

37340

三十一.恶意代码检测(1)恶意代码攻击溯源及恶意样本分析

例如,Kinable等人提取恶意代码的系统调用图,采用图匹配的方式比较恶意代码的相似性,识别出同源样本,进行家族分类。...Faruki等提出了采用SDhash相似性散列技术构建样本的签名序列,并采用汉明距离法对序列进行相似性计算,从而识别同源性样本。...,从而识别出相似性样本,进而归属到对应的家族。...Niu等提出了层次聚类和密度聚类算法结合的快速聚类算法对操作码序列特征进行聚类,以识别恶意软件变体,该方法识别变体效率较高。...2020年8月18新开的“娜璋AI安全之家”,主要围绕Python大数据分析、网络空间安全、人工智能、Web渗透及攻防技术进行讲解,同时分享CCF、SCI、南核北核论文的算法实现。

4.2K30

全国免费物流快递单号智能识别接口API代码

一、智能识别接口说明 1.1 请求地址 http://www.kuaidi100.com/autonumber/auto?...提交成功 请求成功 601 POLL: KEY 已过期 未开通智能单号识别接口...正式充值查询与订阅的套餐后,即可开通接口,免费使用智能单号识别的服务 一、产品介绍 根据客户提交的快递单号,判断该单号可能所属的快递公司编码,返回的数据是多个可能的快递公司列表,相似度高的快递公司排名靠前...二、智能单号识别API应用场景 客户录入快递单号动态提示单号所属的快递公司。 可用于对商家录入的信息进行提交较验,以减少商家的录入错误。...为此,本接口免费提供给贵司使用,同时,我方也不会对本接口的准确性、有效性等提供法律层面上的承诺。当然,本接口同时为我方官网所用接口,所以我方会尽力维护。

1.8K20

负载恶意软件HawkEye的VB Inject样本分析

0x01 概述 恶意软件HawkEye的利用大多都是通过钓鱼邮件分发,利用office直接启动HawkEye主体或者一些经过加密的程序,本文中的VB Inject属于后者,也把重心放在了调试这个VB程序上...VirusTotal上的该样本信息: ? 病毒名大多为VBKrypt或者VBInject。 0x02 行为监控 ?...其实不太清楚偏移0x68是什么,就查了一下: PEB有一个名为NtGlobalFlag(偏移量为0x68)的字段,程序可以挑战识别它们是否正在被调试。...0x05 样本主体 在之前的行为监控中,注意到,样本在C:\User\user\AppData\Romaing\目录下生成了三个文件 pid.txt,pidloc.txt,WindowsUpdate.exe...反编译成功后,发现该程序是恶意软件HawkEye,用于凭据窃取,包括电子邮件Web浏览器,Bitcoin钱包,反病毒检查,键盘记录等。

1K10

恶意样本对抗栈回溯检测机制的套路浅析

在本文中我将会简单分析和推测一下这类恶意样本都是通过哪些套路来实现和栈回溯机制的对抗。需要注意的是,文中讨论的堆栈都是代指线程在用户层的堆栈,并未涉及内核层的堆栈。...0x0 准备 用这两天遇到的某个样本举例来说吧。那是个 RTF 文件格式的 CVE-2015-1641 漏洞利用样本。...先推测该样本篡改 TEB 里 StackBase 和 StackLimit 的值。...这时候样本尚未加载并执行 ShellCode,所以这两个值在这时候是纯净的。...突然注意到,多次执行这个恶意样本并同样在 NtCreateUserProcess 命中断点时,这时候的 ESP 和 EBP 的值始终是 0x0900XXXX 左右的地址,而 StackBase 和 StackLimit

65020

创建简单、免费恶意软件分析环境

VirtualBox - 允许欺骗VM底层硬件,通过探测虚拟/物理硬件或固件版本避免恶意软件发现自身位于VM中。免费、设置简单并具备付费系统管理程序的多数功能。...对于初学者而言,推荐使用VirtualBox,因为它免费、支持多数大型操作系统,快照功能允许将VM 恢复到具体某个存储状态。出此考虑,本文内容也将围绕VirtualBox展开。...这些文件夹中的所有文件都可被VM中的恶意软件轻松窃取、感染或破坏。 不要在联网VM上运行不熟悉的恶意软件样本恶意软件可通过你的IP地址发动DDoS攻击、入侵计算机、开展金融诈骗活动。...避免在危险区域存储可执行恶意软件样本。建议将这些可能接触到你计算机的文件重命名为不可执行文件(例如.bin或.malware)或存储在不可执行目录下的webserver上。...杀毒软件仍将扫描并删除匹配恶意签名的不可执行恶意软件样本甚至记事本,建议将重要文件夹设置为白名单。

1.5K90

创建简单、免费恶意软件分析环境

VirtualBox - 允许欺骗VM底层硬件,通过探测虚拟/物理硬件或固件版本避免恶意软件发现自身位于VM中。免费、设置简单并具备付费系统管理程序的多数功能。...对于初学者而言,推荐使用VirtualBox,因为它免费、支持多数大型操作系统,快照功能允许将VM 恢复到具体某个存储状态。出此考虑,本文内容也将围绕VirtualBox展开。...这些文件夹中的所有文件都可被VM中的恶意软件轻松窃取、感染或破坏。 不要在联网VM上运行不熟悉的恶意软件样本恶意软件可通过你的IP地址发动DDoS攻击、入侵计算机、开展金融诈骗活动。...避免在危险区域存储可执行恶意软件样本。建议将这些可能接触到你计算机的文件重命名为不可执行文件(例如.bin或.malware)或存储在不可执行目录下的webserver上。...杀毒软件仍将扫描并删除匹配恶意签名的不可执行恶意软件样本甚至记事本,建议将重要文件夹设置为白名单。

1.5K60

【顶刊论文分享】识别恶意bot

恶意bot通常不会遵从robots.txt,并且会使用robots.txt来识别他们可能忽略的端点。...值得注意的是,Aristaeus平台识别到的恶意bot并没有表现出这种行为模式,其cache breaker都与IP地址一一对应。...四、识别恶意bot 作者在此次实验中共收到了347386个良性请求,占Aristaeus收到请求总数的1.3%。其中搜索引擎bot发出的请求约占84.4%。...根据分析结果可知,恶意bot发送的请求主要包括暴力破解凭证、对web应用程序进行指纹识别、渗透测试、扫描可能存在的敏感文件等,并且会快速实施对最新报告漏洞的探测和攻击。...为了判断bot的真实身份是否与其声明一致,Aristaeus通过识别TLS、JavaScript等指纹发现多数自称是浏览器的bot实际是通过Python和Go实现的,其中TLS指纹在识别恶意bot方面具有非常好的效果

76220

如何设置自己的Dionaea蜜罐来收集恶意软件样本

简介 许多安全人员都热衷于恶意软件的逆向工程。在本文中我将教大家设置一个自己的Dionaea蜜罐,来协助我们恶意软件样本的收集工作。...需要提醒大家的是,如果你有一个硬盘空间小于50GB的微型实例,你将获取到一个免费的服务器。但你必须提供你的信用卡信息给AWS,只要你保持在免费限额内就可以永久的免费使用它。...Dionaea 蜜罐的设计目的是诱捕恶意攻击,获取恶意攻击会话与恶意代码程序样本。...所需技能 了解常用的Linux命令 对网络知识具有一定的理解 服务器 服务器(强烈推荐AWS,免费提供w/ CC) 免责声明(可选) 一些托管服务提供商并不喜欢恶意软件。...因此,他们可能也不会允许你在他们的服务器上收集恶意软件样本。 AWS设置 现在我们开始设置AWS实例。

1.2K40

三星识别文字_免费文字识别

百度 AI 实战营收官战(成都站),宣告百度 OCR 免费策略再次升级。...百度通用文字识别服务的免费使用次数提升100倍,从每天500次提升至每天50000次;通用文字识别高精度版的免费使用次数提升10倍,从每天50次提升至每天500次。...目前业界通常按照接口调用次数收费,单个接口单次调用费从几分钱到几毛钱不等,百度永久免费开放通用文字识别及其他文字识别技术,实实在在为企业节约一笔不菲的支出。...三星结合百度 OCR,打造三星手机人工智能助手- Bixby。...“百世来取”作为寄件平台,在业内率先推出了智能地址解析功能;通过引进百度的 OCR 文字识别技术,极大的简化了用户的下单流程,提升了用户体验。

22.2K30

FireEye发布免费恶意程序分析软件ToolBox

FireEye刚刚发布了一款软件,这款软件可用于构建完全定制化的虚拟机(VM),其中包含可用于恶意程序分析或其它网络安全相关任务的工具。...这款软件提供了一个平台,包含了全面收集的安全工具,如恶意软件分析,逆向工程,事件响应,取证调查和渗透测试。其中包括反汇编器,调试器,反编译器,静态和动态分析工具,开发工具,漏洞评估和网络分析工具。...一旦安装完成,建议用户创建虚拟机的快照,以保存其安全状态,并将网络设置切换到主机,以防止分析的恶意软件样本连接到本地网络或互联网。 ?...公司发布的博客文章还提供了示例,说明如何使用FLARE VM来分析恶意软件样本

1.2K80

视频行为识别(二)——小样本动作识别的分层组合表示

理论依据是是动作识别任务中新动作类型和基本动作类型之间在子动作和细粒度SAS动作之间有着相似之处。此外,利用Earth Mover’s Distance衡量了视频样本间子动作的相似性。 2....模型结构 图片 上图展示了本文所提出的小样本视频动作识别模型的总体框架,该模型首先通过聚类将复杂的动作划分为若干子动作,然后通过部分注意模块(Parts Attention Module, PAM)进一步将子动作分解为更细粒度的...而且,考虑到直接对齐本地表示沿着时间维度不能很好地处理时间无关的动作样本,本文采用地球移动器的距离(EMD)作为距离函数,以匹配子动作表示,以更好地比较细粒度的模式,实现视频片段内部的时序序列在聚类的子动作中得到很好的保留...最后,利用EMD距离函数计算了支持集和查询集的子动作表示序列之间的相似性,相似性得分送入Softmax层映射到样本动作分类的概率分布中,计算公式如下: 图片 关键技术分析 1....比如本文通过模仿人类在识别动作时通常将动作分为一些小的细节,动作识别模型也将视频中的动作进行两次划分,进行细粒度的识别。 本文在计算动作之间距离的时候,使用的是EMD,并不是计算机领域中常用的算法。

30120

如何用深度学习来识别恶意软件

但是,如果我机智地把系统升级,加入人工智能模块,即所谓的深度学习技术,那么即使手指出镜,这瓶液体也可以被识别出来。 深度学习,就像人们所熟知的神经网络,受到大脑激励,不断增强学习识别物体的能力。...用基于代码行为特点的启发式技术来识别恶意软件,产生了基于行为的解决方案。该恶意软件检测技术分析了恶意软件运行时的行为,而非针对恶意软件代码本身的硬编码。...这些解决方案在一个虚拟的环境中执行恶意软件,以确定该文件是否恶意,而非检测运行时的行为指纹。 深度学习检测效果显著 使用人工智能侦测恶意软件的方法应运而生。...结合人工智能,打造更复杂的检测能力是网络安全解决方案演变之路上的最新一步。基于机器学习的恶意软件检测方法应用更详细的算法,根据手动工程的特点来判断一个文件的行为是恶意还是合法。...此外,恶意软件检测率仍然离100%识别很远。 人工智能的深度学习是机器学习的一个高级分支,也被称为“神经网络”,因为它与人类大脑的工作方式如出一辙。

1.6K90

如何识别恶意Cobalt Strike服务器

考虑到安全测试人员,更重要的是恶意攻击者,大量使用Cobalt Strike平台,识别Cobalt Strike服务器连接到企业网络资产的必要性是显而易见的。...由于 Windows 上的其他普普通通的应用程序也使用相同的套接字,因此,我们很难识别其中的恶意通信。...因此,如果结合 ja3+ja3s,就能够识别这种恶意通信,而不用考虑目的地 IP、域名或证书等细节信息。...JARM是一个主动TLS服务端指纹工具,主要用途如下: 快速验证一组TLS服务器是否使用相同的TLS配置; 通过TLS配置划分TLS服务器,并识别可能归属的公司; 识别网站默认的应用或基础架构; 识别恶意软件...C&C控制节点,以及其他恶意服务器。

1.7K10

一个Hancitor恶意邮件活动Word文档样本的分析

很明显,恶意文档打开后使用了一个干净的文档替换原来的文档内容,一是使恶意文档不重复进行感染,二是更好的隐蔽保护自身。 ?...经过对宏文档和PE负载的分析,发现本次样本包含的宏代码与Hancitor文档宏代码有较大的变化,但是通过对内含主要PE负载文件的分析,发现二者基本一致,比如IDA反汇编后形式、代码加密执行、网络通信协议...因此,可基本判定本次恶意邮件攻击属于Hancitor恶意邮件攻击行动。...三、结语 与以往宏病毒样本相比,本次恶意宏文档具备如下的几个特点: 1、没有网络下载动作。文档内直接包含恶意负载部分,没有利用类似powershell脚本下载恶意文件。 2、没有直接进程执行动作。...不像以往恶意宏会直接执行恶意负载,作者利用感染用户桌面快捷方式的途径来达成进程启动目的。 3、会利用干净文档替换恶意文档,从而更具迷惑性。

1.5K10

恶意代码分析实战六:熊猫烧香病毒样本分析

理解这一点可以帮助识别栈上的变量。 简单静态分析 用Strings和Dependency分别对熊猫烧香的字符串和导出表进行分析。...导出表中分析出URLDownload函数,此函数多为下载者恶意程序。 弱口令内网135端口爆破 感染U盘 下载者功能 135弱口令爆破密码。 U盘感染字符串关键字。 恶意下载者函数。...main入口函数 用“倚天剑”IDA Pro载入样本后可以看到如下图: 图1是样本的main函数入口最开始的汇编代码,我们不从第一行汇编代码开始看,因为大部分内容都是Delphi自动生成的,我们只找关键位置来看...IDA Pro把数据识别成了***武*汉*男*生*感*染*下*载*者***的中文。...IDR能分析出IDA Pro无法识别的符号,而且对中文字符串的显示效果也很不错,点击SRC按钮还能反编译成Delphi伪代码。

3.1K20

智能识别方面主要进展 | 语音识别、OCR识别、图像识别、生物识别…… | 智能改变生活

智能核心是对认知能力的升级革命,从感知、认知到决策执行,目前基础理论层、技术层的发展已经达到认知层面的建模与分析,应用层则体现为利用智能技术解决各种多模态目标识别的速度和精度,本文整理了目前市场上智能识别领域的典型应用进展及部分厂商...车牌识别:车牌识别技术相信大家都不会觉得陌生,智能交通,小区停车场等,都有很好的应用.为满足市场和用户需求。...相信未来虹膜识别技术在中国市场的空间已经被打开,未来有望在更多智能终端和日常领域得到应用。 ?...OCR(Optical Character Recognition,光学字符识别智能识别技术:通过对图片中的文字进行提取识别,转换成可检索的数据。...成熟的唇语识别系统需要建立在大量人脸特征样本的基础之上,通过带记忆的深度神经网络才能保证结果的最大准确性。

4.1K30
领券