声明:本人坚决反对利用文章内容进行恶意攻击行为,一切错误行为必将受到惩罚,绿色网络需要靠我们共同维护,推荐大家在了解技术原理的前提下,更好的维护个人信息安全、企业安全、国家安全。...0x01 前言 做为一名网络安全爱好者在日常工作中难免会用到一些恶意软件检测平台,用来分析一些木马样本,例如:钓鱼邮件的恶意样本分析,分析网上下载的工具是否存在木马后门,自己编写了免杀工具查看其免杀效果等...接下来,小编通过网上搜集了一些恶意软件检测的在线平台,总结如下: 0x02 恶意软件检测分析平台 VirSCAN: https://www.virscan.org VirusTotal: https:/
我们需要知道这个恶意代码到底做了什么,如何进行有效检测,才能进一步消除它带来的影响。 本文主要通过几个简单的步骤,分享恶意样本分析的基本方法。...---- 1、多引擎在线病毒扫描 找到了一个恶意样本程序,通过多病毒引擎进行安全扫描,可以帮助你判断文件是否为恶意程序。 VirSCAN:免费多引擎在线病毒扫描1.02版,支持47个杀毒引擎。...2、文件哈希值 文件哈希值是恶意代码的指纹,通过它用来确认文件是否被篡改,也可以通过HASH值查找恶意样本,一般我们也可以使用多种哈希验证文件的唯一性。 ?...可通过获取关键信息,来猜测恶意代码的功能。 ? 6、云沙箱分析 将恶意样本上传到微步云沙箱,通过威胁情报、静态和动态行为分析,以发现恶意程序存在的异常。...7、动态行为分析 通过火绒剑对文件行为、注册表行为、进程行为、网络行为进行分析,捕获恶意样本特征。 ?
下面是我平时研究学习恶意样本中的威胁情报的主要来源地方,国外国内的恶意样本分析平台还有很多很优秀的平台以及其他网络渠道(例如github),可以根据自己需要进行恶意样本的获取。...国外恶意样本源 目前很多新的威胁情报都是来源于国外,因此对于各种新攻击手法,可以重点关注国外的恶意样本源,通过下面的6个平台可以获取到恶意样本。...3、https://tria.ge/reports/public 该平台的恶意样本量还有恶意样本的种类还是比较丰富的,同时也有对应的恶意样本的分析报告,可以结合需要进行获取恶意样本。...4、https://www.hybrid-analysis.com/ 该平台对样本分析识别是否为恶意样本,采用AV的检测方案,同时检测的指标还很多,也对恶意样本进行风险评估,并且将样本里面的攻击方案和防护方案都做分析...国内恶意样本源 1、微步在线云沙箱: https://s.threatbook.com/ 这个微步云沙箱平台的恶意样本也是各种类型都有并且样本量也很多,对恶意样本分析也很详细的。
例如,Kinable等人提取恶意代码的系统调用图,采用图匹配的方式比较恶意代码的相似性,识别出同源样本,进行家族分类。...推荐三篇相关工具及技术的文章: 恶意软件分析大合集 恶意代码分析相关工具&漏洞挖掘相关工具 探寻APT的化学本质与破解之术 2.追踪溯源案例 这里分享两个简单的案例,一个是铁人王进喜案例,另一个是Lazarus...Faruki等提出了采用SDhash相似性散列技术构建样本的签名序列,并采用汉明距离法对序列进行相似性计算,从而识别同源性样本。...,从而识别出相似性样本,进而归属到对应的家族。...Niu等提出了层次聚类和密度聚类算法结合的快速聚类算法对操作码序列特征进行聚类,以识别恶意软件变体,该方法识别变体效率较高。
at f2ab891a278b2875c79b4f2916d086f870b54ed5 · kevoreilly/CAPEv2 (github.com)) 沙箱的提取代码,在前面奇安信攻防社区-APT 恶意...pip install pycryptodomex pefile——应用 PE 结构模板,定位文件头和节表区的字段和数据 标准库:struct、socket、itertools 编译器: vscode 样本...把地址部分的都模糊查询,指令码部分的字节都一一对应: 比如说上面蓝框的第一行 FF B4 24 A8 01 00 00 push [esp+28Ch+var_E4] ,由于 IDA 中在识别函数的过程中插入了
0x01 概述 恶意软件HawkEye的利用大多都是通过钓鱼邮件分发,利用office直接启动HawkEye主体或者一些经过加密的程序,本文中的VB Inject属于后者,也把重心放在了调试这个VB程序上...VirusTotal上的该样本信息: ? 病毒名大多为VBKrypt或者VBInject。 0x02 行为监控 ?...其实不太清楚偏移0x68是什么,就查了一下: PEB有一个名为NtGlobalFlag(偏移量为0x68)的字段,程序可以挑战识别它们是否正在被调试。...0x05 样本主体 在之前的行为监控中,注意到,样本在C:\User\user\AppData\Romaing\目录下生成了三个文件 pid.txt,pidloc.txt,WindowsUpdate.exe...反编译成功后,发现该程序是恶意软件HawkEye,用于凭据窃取,包括电子邮件Web浏览器,Bitcoin钱包,反病毒检查,键盘记录等。
在本文中我将会简单分析和推测一下这类恶意样本都是通过哪些套路来实现和栈回溯机制的对抗。需要注意的是,文中讨论的堆栈都是代指线程在用户层的堆栈,并未涉及内核层的堆栈。...0x0 准备 用这两天遇到的某个样本举例来说吧。那是个 RTF 文件格式的 CVE-2015-1641 漏洞利用样本。...先推测该样本篡改 TEB 里 StackBase 和 StackLimit 的值。...这时候样本尚未加载并执行 ShellCode,所以这两个值在这时候是纯净的。...突然注意到,多次执行这个恶意样本并同样在 NtCreateUserProcess 命中断点时,这时候的 ESP 和 EBP 的值始终是 0x0900XXXX 左右的地址,而 StackBase 和 StackLimit
样本拼接要做什么?...图片 样本拼接原理上其实非常简单,就是将推荐在线服务给的特征快照先暂存起来,等待道具曝光后根据收集到用户对此道具的一系列交互行为(点赞、收藏、转发等)给原本只有特征的推荐记录拼接上标签。...另外,推荐系统中道具的总数量远远少于用户,而且除了库存之类的易变特征外,大部分道具特征更新频率很低,每天打一个包就可以。...由于每条推荐记录都包含多个道具,插入稳定道具特征很可能会带来大量的冗余数据,从后台导入道具特征包是更合理的选择。道具特征包在拼接窗口内会存在多个版本,是否真的能够减少总存储空间还要看具体业务场景。...假定采集的标签分别是浏览和下单,那么从上帝视角可以知道这次推荐对应的真实样本应该是A11、B11、C00、D10。可是数据科学家并没有上帝视角,此时只能名侦探附体,使用一定的策略去尽可能还原真相了。
恶意bot通常不会遵从robots.txt,并且会使用robots.txt来识别他们可能忽略的端点。...值得注意的是,Aristaeus平台识别到的恶意bot并没有表现出这种行为模式,其cache breaker都与IP地址一一对应。...四、识别恶意bot 作者在此次实验中共收到了347386个良性请求,占Aristaeus收到请求总数的1.3%。其中搜索引擎bot发出的请求约占84.4%。...根据分析结果可知,恶意bot发送的请求主要包括暴力破解凭证、对web应用程序进行指纹识别、渗透测试、扫描可能存在的敏感文件等,并且会快速实施对最新报告漏洞的探测和攻击。...为了判断bot的真实身份是否与其声明一致,Aristaeus通过识别TLS、JavaScript等指纹发现多数自称是浏览器的bot实际是通过Python和Go实现的,其中TLS指纹在识别恶意bot方面具有非常好的效果
简介 许多安全人员都热衷于恶意软件的逆向工程。在本文中我将教大家设置一个自己的Dionaea蜜罐,来协助我们恶意软件样本的收集工作。...Dionaea 蜜罐的设计目的是诱捕恶意攻击,获取恶意攻击会话与恶意代码程序样本。...所需技能 了解常用的Linux命令 对网络知识具有一定的理解 服务器 服务器(强烈推荐AWS,免费提供w/ CC) 免责声明(可选) 一些托管服务提供商并不喜欢恶意软件。...因此,他们可能也不会允许你在他们的服务器上收集恶意软件样本。 AWS设置 现在我们开始设置AWS实例。...该文件用于指定你的恶意软件/二进制文件的位置,以及侦听的接口和端口。你可以保留这些默认值,但请记住,日志文件会变大。 就比如我恶意软件大约1个G但却有19G的日志。 ?
理论依据是是动作识别任务中新动作类型和基本动作类型之间在子动作和细粒度SAS动作之间有着相似之处。此外,利用Earth Mover’s Distance衡量了视频样本间子动作的相似性。 2....模型结构 图片 上图展示了本文所提出的小样本视频动作识别模型的总体框架,该模型首先通过聚类将复杂的动作划分为若干子动作,然后通过部分注意模块(Parts Attention Module, PAM)进一步将子动作分解为更细粒度的...而且,考虑到直接对齐本地表示沿着时间维度不能很好地处理时间无关的动作样本,本文采用地球移动器的距离(EMD)作为距离函数,以匹配子动作表示,以更好地比较细粒度的模式,实现视频片段内部的时序序列在聚类的子动作中得到很好的保留...最后,利用EMD距离函数计算了支持集和查询集的子动作表示序列之间的相似性,相似性得分送入Softmax层映射到样本动作分类的概率分布中,计算公式如下: 图片 关键技术分析 1....比如本文通过模仿人类在识别动作时通常将动作分为一些小的细节,动作识别模型也将视频中的动作进行两次划分,进行细粒度的识别。 本文在计算动作之间距离的时候,使用的是EMD,并不是计算机领域中常用的算法。
但是,如果我机智地把系统升级,加入人工智能模块,即所谓的深度学习技术,那么即使手指出镜,这瓶液体也可以被识别出来。 深度学习,就像人们所熟知的神经网络,受到大脑激励,不断增强学习识别物体的能力。...用基于代码行为特点的启发式技术来识别恶意软件,产生了基于行为的解决方案。该恶意软件检测技术分析了恶意软件运行时的行为,而非针对恶意软件代码本身的硬编码。...这些解决方案在一个虚拟的环境中执行恶意软件,以确定该文件是否恶意,而非检测运行时的行为指纹。 深度学习检测效果显著 使用人工智能侦测恶意软件的方法应运而生。...结合人工智能,打造更复杂的检测能力是网络安全解决方案演变之路上的最新一步。基于机器学习的恶意软件检测方法应用更详细的算法,根据手动工程的特点来判断一个文件的行为是恶意还是合法。...此外,恶意软件检测率仍然离100%识别很远。 人工智能的深度学习是机器学习的一个高级分支,也被称为“神经网络”,因为它与人类大脑的工作方式如出一辙。
考虑到安全测试人员,更重要的是恶意攻击者,大量使用Cobalt Strike平台,识别Cobalt Strike服务器连接到企业网络资产的必要性是显而易见的。...由于 Windows 上的其他普普通通的应用程序也使用相同的套接字,因此,我们很难识别其中的恶意通信。...因此,如果结合 ja3+ja3s,就能够识别这种恶意通信,而不用考虑目的地 IP、域名或证书等细节信息。...JARM是一个主动TLS服务端指纹工具,主要用途如下: 快速验证一组TLS服务器是否使用相同的TLS配置; 通过TLS配置划分TLS服务器,并识别可能归属的公司; 识别网站默认的应用或基础架构; 识别恶意软件...C&C控制节点,以及其他恶意服务器。
很明显,恶意文档打开后使用了一个干净的文档替换原来的文档内容,一是使恶意文档不重复进行感染,二是更好的隐蔽保护自身。 ?...经过对宏文档和PE负载的分析,发现本次样本包含的宏代码与Hancitor文档宏代码有较大的变化,但是通过对内含主要PE负载文件的分析,发现二者基本一致,比如IDA反汇编后形式、代码加密执行、网络通信协议...因此,可基本判定本次恶意邮件攻击属于Hancitor恶意邮件攻击行动。...三、结语 与以往宏病毒样本相比,本次恶意宏文档具备如下的几个特点: 1、没有网络下载动作。文档内直接包含恶意负载部分,没有利用类似powershell脚本下载恶意文件。 2、没有直接进程执行动作。...不像以往恶意宏会直接执行恶意负载,作者利用感染用户桌面快捷方式的途径来达成进程启动目的。 3、会利用干净文档替换恶意文档,从而更具迷惑性。
智能核心是对认知能力的升级革命,从感知、认知到决策执行,目前基础理论层、技术层的发展已经达到认知层面的建模与分析,应用层则体现为利用智能技术解决各种多模态目标识别的速度和精度,本文整理了目前市场上智能识别领域的典型应用进展及部分厂商...车牌识别:车牌识别技术相信大家都不会觉得陌生,智能交通,小区停车场等,都有很好的应用.为满足市场和用户需求。...相信未来虹膜识别技术在中国市场的空间已经被打开,未来有望在更多智能终端和日常领域得到应用。 ?...OCR(Optical Character Recognition,光学字符识别)智能识别技术:通过对图片中的文字进行提取识别,转换成可检索的数据。...成熟的唇语识别系统需要建立在大量人脸特征样本的基础之上,通过带记忆的深度神经网络才能保证结果的最大准确性。
理解这一点可以帮助识别栈上的变量。 简单静态分析 用Strings和Dependency分别对熊猫烧香的字符串和导出表进行分析。...导出表中分析出URLDownload函数,此函数多为下载者恶意程序。 弱口令内网135端口爆破 感染U盘 下载者功能 135弱口令爆破密码。 U盘感染字符串关键字。 恶意下载者函数。...IDA Pro把数据识别成了***武*汉*男*生*感*染*下*载*者***的中文。...Delphi逆向小技巧 其实Delphi有专门的反编译器,其效果不比IDA Pro差,甚至更胜一筹,其中值得比较推荐的一款就是IDR。...IDR能分析出IDA Pro无法识别的符号,而且对中文字符串的显示效果也很不错,点击SRC按钮还能反编译成Delphi伪代码。
只有都搞清楚了每个细节,才能对你要做的推荐有个大概的把握,才好规划下面应该要怎么去做好。 2、第二步:提取训练样本。...作为模型搭建的第二步,着实关键,一个不精确的训练样本,会严重影响最终预测或推荐效果的可用性,而这里样本的正确选择,直接取决于对推荐场景的理解是否到位。...首先针对一批用户群体,我们已经知道了他们针对这个推荐场景下的行为结果(标签),对于二分类问题也就是1或0(正样本或负样本),如参与了活动或没有参与,点击了游戏或没有点击等等,一般情况下有行为的用户作为正样本...(c)解决了正负样本的比例问题之后,就需要去框定你的群体范围,这个其实就是根据第一步的推荐场景来定的。这里存在两个点: i. 取什么样本?...总之取的样本中对正负样本的条件是公平的。 ii. 取多长周期?这其实是个比较tricky的问题,可以从以下几方面考虑: 按需求,也就是根据具体推荐场景要求来定。
YARA是一款用于识别恶意软件的优秀工具,你可以自己编写规则,也可以借助预制的规则yararules。
Emlog被恶意评论灌水解决方法,关于Emlog验证码机制问题,用emlog程序都知道,它已经不存在更新了,所以emlog评论验证码代码年久失修了,可以无视验证码评论,因此咱也不说是谁的刷灌水机了。...6、可利用代理IP多线程即可实现无拦截评论恶意灌水轰炸 处理方案一: 1.开启session并且将是否为空的行为进行判断 2.违规词拦截(emlog用户免费提供emlog违规词拦截魔改插件和极猫云WAF
本文作为 推荐系统炼丹笔记系列的第7期,我们在样本构造方面,来聊一聊负样本的艺术。 “数据和特征决定了机器学习的上限,而模型和算法只是逼近这个上限”。...因此,推荐热门item的频率甚至比数据集中显示的原始受欢迎程度还要高。...03Hard增强负样本 Hard样本这个说法来自图像的分类任务,在搜索推荐系统的召回中没有类别的概念,无法直接应用图像的Hard样本挖掘方法。...Calibration》,讨论了搜索推荐系统中延迟反馈的的负样本问题。...以前的研究已经调查了数据暴露的几个方面: 1)暴露受先前推荐系统的策略的影响,这些策略控制要显示哪些商品。
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
即时通信 IM
ICP备案
云直播
实时音视频
