背景介绍 大家好:今天我们来学习大熊猫,什么?大熊猫有啥可学的。。。。。。像下边这个吗: ? 答案当然不是!!!!...今天我们学习的是一个python中用来用于数据分析,操作和可视化的全功能数据分析库pandas~~~先来学习如何读取表格数据文件使用pandas,接下来开始吧: ? 入门示例 ? ? ?...代码实现如下: # # 如何使用pandas读取表格数据文件?...import pandas as pd # ## 读取TSV文件用tab分割的数据,这里指定分隔符sep为\t orders = pd.read_csv('data.tsv',sep='\t') orders...# ## 获取表格开头的几行数据 orders.head() # ## 读取任意后缀的文件,文件内容使用竖线分割的 movies = pd.read_csv('movie.user') movies.head
1.样本概况 1.1 样本信息 (1)病毒名称:spo0lsv.exe (2)所属家族:熊猫烧香 (3)MD5值:B8F8E75C9E77743A61BBEA9CCBCFFD5D (4)SHA1值:188FC8FC580C0EA4BF8A8900A3D36471823C8923...1.2 测试环境及工具 测试环境:Windows 7 32位 工具:火绒剑,IDA,OD 1.3 分析目标 找到病毒行为的具体实现代码,了解病毒行为的具体实现原理,知道病毒对机器的执行具体行为,进一步评估病毒对于宿主机器的威胁程度...2.具体行为分析 2.1 恶意程序的功能框架 第一部分: 第二部分: 第三部分: 2.2 恶意程序的主要行为以及对用户的危害 (1)遍历进程、线程、模块和堆 (2)检测杀毒软件 病毒会检测当时比较流行的一些杀毒软件...第三个定时器: 通过连接网络来更新,从网上下载数据。 第四个定时器: 通过命令行,实现关闭共享。...第五个定时器: 使一系列的杀毒软件启动项设置失效,保护自身不被杀毒软件检测出来 第六个和第七个定时器: 通过网络访问相关API来从网络上获取数据。
这次研究的“熊猫烧香”程序并没有加壳。首先打开PEiD工具人,然后将熊猫烧香病毒拖进去,会发现病毒的基本信息。...数据窗口右键->转到->表达式->输入40CCA4 可以发现在“40CCA4”位置保存了一段字符串,它可能是一段乱码,目前无法分析它的含义。...0x004053E8 0x00405408 接着按下F9运行,查看输出的结果,分析如下: 将“xboy”的第三个字母“o”取出解密 数据窗口新增很多内容,完成字符串拷贝 反复继续按F9调试,发现它依次获取...这三个call是熊猫烧香病毒最重要的功能,我们下一篇文章继续分析。...四、总结 写到这里,熊猫烧香病毒起始阶段的逆向分析就介绍完毕,简单总结如下: 0x0040CB7E call sub_403C98 – 重命名为:AllocStackAndCopyString –
作者丨黑蛋一、病毒简介病毒名称:熊猫烧香文件名称:40fee2a4be91d9d46cc133328ed41a3bdf9099be5084efbc95c8d0535ecee496文件格式:EXEx86文件类型...这里应该是修复IAT表,然后我们F4到其中跳出循环的jmp上面:F8就是OEP:根据x32dbg自带插件脱壳先Dump:需要修复IAT表,右键->搜索->模块间调用:双击第一个,看到call回车进jmp,然后右键数据跟随选择地址...:然后在这里看一下IAT表偏移,大小,再把7FFFFFFF改成00000000,然后打开插件,写入OEP:脱壳成功:四、行为分析首先拍个快照,为了更好的查看熊猫行为,咱赋予他管理员权限,然后把熊猫添加到信任区...exe拖到IDA中,从start开始分析,F5反汇编:首先前面一坨都是一些变量赋值等操作,重点在以下三个函数:5.1、sub_40819C分析通过对函数内部分析,猜测加分析,对部分函数命名,以及对部分变量直接赋予字符串...然后拖到IDA中静态分析就可以了。
://pan.baidu.com/s/1hrWEOYg 这本书包括基础篇,中级篇和深入篇三个部分,不仅适合零基础的朋友入门,也适合有一定基础的爬虫爱好者进阶,如果你不会分布式爬虫,不会千万级数据的去重...,不会怎么突破反爬虫,不会分析js的加密,这本书会给你惊喜。...扯犊子 熊猫烧香病毒在当年可是火的一塌糊涂,感染非常迅速,算是病毒史上比较经典的案例。不过已经比较老了,基本上没啥危害,其中的技术也都过时了。作为练手项目,开始对熊猫烧香病毒进行分析。...挂起之后,将Process Monitor中的监听数据进行保存,然后我们就可以进行离线分析了。...Process Monitor的强大之处在于过滤器,因为Process Monitor监听的是所有的进程,数据量太大。下面我们从进程线程,文件,注册表和网络四个方面来分析一下病毒的行为。
这些信息包括标签、注释、断点、监视、分析数据、条件等。 第二步,在OD中分析0x00408171位置。 首先是一个CMP比较操作(Compare),接着查看EBP-0x8的内容。...第三步,按下F8执行到这个Call函数进行分析。 按下F8执行过来后,选中EAX在数据窗口中跟随。 EAX是累加器(accumulator),它是很多加法乘法指令的缺省寄存器。...我们在这里看下它比对的是什么字符串,在数据窗口中跟随值,可以看到两个字符串分别是拼接的字符串和当前OD分析程序的字符串。...C:\USERS\14551\DESKTOP\SETUP.EXE C:\WINDOWS\SYSTEM32\DRIVERS\SPOCLSV.EXE 很明显,我们分析的熊猫烧香病毒程序在桌面上,而比对的是DRIVERS...再往下ExitProcess是结束当前正在运行的进程,即熊猫烧香的病毒样本。
熊猫烧香行为分析 查壳 因为程序肯定是病毒,我就不上传杀毒网去查杀了。正常我们在分析一个未知恶意程序的时候,流程都是要先上传杀毒网看看。...简单静态分析 用Strings和Dependency分别对熊猫烧香的字符串和导出表进行分析。...行为总结 熊猫烧香逆向分析 在这里我们利用逆向界的倚天剑和屠龙刀,IDA和OD来对熊猫烧香进行逆向分析,对其内部实现的原理有个了解,因为篇幅关系不会对整个程序彻底分析,而是挑拣一些重要内容进行分析。...断点的数据。 DOS时间。 这里面截图截错了,应该是前4个字节对应时间的数据,首先0x531E ,其中0x1E代表的年月日里面的日,其余数据对应的根据MSDN上的文档进行转换。...③ sub_0040C97C 第3个Call:终止定时器,设置4个新的计时器 学习总结 终于到此熊猫烧香都分析完了,从行为分析开始然后过渡到IDR软件静态分析,x32dbg动态调试分析,分析每个Call
熊猫烧香这个病毒虽然过去很久了,但是这个病毒值得研究,在病毒出现的这个年代因为安全意识普遍不强,导致大范围被感染。...本文带你跨进计算机病毒的大门 0x00工具 查壳:PEID、ExeInfo PE 动态分析:OllyDbg 静态反汇编分析:IDA Pro 行为监控:ProcessMonitor PCHunter 、火绒剑...在后面的分析中,我们会详细分析,这里我们不做赘述) ?...19.sub_40800C:InfectFile的感染过程就是首先将目标文件读取到内存中,并获得文件名及其大小;将自身文件复制到目标文件前,并追加目标程序原始数据,最后添加标记。...到这里整个分析就结束了 下面是部分源代码 ? 0x06结束语 熊猫烧香病毒其实没有那么强,只不过病毒封装方面强一些。
熊猫烧香从2007年1月肆虐网络到现在。已经过了查不多4个年头了。病毒的作者李俊现在也从监狱里被放了出来。...在当时熊猫烧香确实给大家一个意外,它采用了一种新的方式对计算机的程序和系统造成了很严重的破坏。 其实我的这篇文章也不叫什么分析,只是说简单的简析。...熊猫烧香是一种经过多次变种的蠕虫病毒。它可以通过下载文档,查看受感染的网页进行感染。...他的最大创新在于,感染全盘的.exe文件和删除系统的.gho文件,并且将所有.exe文件的图标变成一只举着三根香的熊猫。
LiveVideoStack邀请熊猫TV CTO黄欢和金山云算法总监朱政解读了熊猫TV HEVC的实现,他们还对Codec的未来给出了自己的思考。...黄欢:目前熊猫直播的移动端均支持观看HEVC房间,熊猫直播平台会根据用户的设备情况、网络状态、用户的个性化选择,自动为用户选择合适的线路、分辨率、码率、视频编码方式,用户不会感觉到HEVC房间和其他房间的差异...LiveVideoStack:预计2018年HEVC在熊猫直播的“比例”达到多少? 黄欢:这要看用户使用的硬件设备情况,我们估计移动端占比会超过50%,其他平台的数据还不好预计。...LiveVideoStack:熊猫直播是否在考虑支持HDR?...朱政:金山在考察AV1,但因为其目前速度太慢,还没有办法做深入分析和实验。我们虽然在HEVC上耕作了很多年,但绝对拥抱新技术和新标准。
本文重点分析熊猫烧香病毒的功能函数,大家掌握这些技巧后才能更好地分析更多的代码。同时,本文部分实验参考姜晔老师的视频分析,真的非常佩服和值得去学习的一位老师。...我们在这里看下它比对的是什么字符串,在数据窗口中跟随值,可以看到两个字符串分别是拼接的字符串和当前OD分析程序的字符串。...[系统安全] 八.那些年的熊猫烧香及PE病毒行为机理分析 六.分析spoclsv.exe 虽说这个程序和“熊猫烧香.exe”是完全一样的,可是毕竟其内部的执行流程是不同的。...同时作者是跟着姜晔老师的视频,一步步逆向分析熊猫烧香病毒的,后续还有WannaCry蠕虫等恶意样本的分析。...PE病毒行为机理分析 [系统安全] 十二.熊猫烧香病毒IDA和OD逆向分析(上)病毒初始化 [系统安全] 十三.熊猫烧香病毒IDA和OD逆向分析(中)病毒释放机理 [系统安全] 十三.熊猫烧香病毒IDA
娜璋AI安全之家于2020年8月18日开通,将专注于Python和安全技术,主要分享Web渗透、系统安全、CVE复现、威胁情报分析、人工智能、大数据分析、恶意代码检测等文章。...PE病毒数量非常之多,包括早期的CIH病毒,全球第一个可以破坏计算机硬件的病毒,它会破坏主板的BIOS,对其数据进行擦写修改。再比如熊猫烧香、机器狗等等,其危害非常之大。 什么叫感染?...三.熊猫烧香病毒行为分析 熊猫烧香病毒有它的特殊性,也有它的通用性。下面结合第一部分PE病毒基础知识,介绍熊猫烧香病毒的基本行为。...写到这里,我们基本已经分析了熊猫烧香的病毒行为,但这些行为仍然无法彻底了解病毒的行为,还需要通过OllyDbg逆向分析和IDA静态分析来实现。...PE病毒行为机理分析 2020年8月18新开的“娜璋AI安全之家”,主要围绕Python大数据分析、网络空间安全、人工智能、Web渗透及攻防技术进行讲解,同时分享CCF、SCI、南核北核论文的算法实现
熊猫烧香病毒机理分析 (1)自启动方式 熊猫烧香病毒将自身拷贝至系统目录,同时修改注册表将自身设置为开机启动项 这种方式也是绝大部分病毒自启动所采用的方式。...(2)传播方式 a、感染可执行文件 熊猫烧香病毒会搜索并感染系统中特定目录外的所有.EXE / .SCR / .PIF / .COM等文件,将自身捆绑在被感染文件前端,并在尾部添加标记信息:.WhBoy...b、感染网页 熊猫烧香病毒会查找系统以 .html 和 .asp 为后缀的文件,在里面插入网页标记,这个帧iframe会将另外一个URL嵌入到当前网页,并且宽度和高度设置为0(看不到)。...(3) 自我隐藏 a、禁用安全软件 熊猫烧香病毒会尝试关闭安全软件(杀毒软件、防火墙、安全工具)的窗口、进程,比如包含360的名称等;删除注册表中安全软件的启动项;禁用安全软件的服务等操作。...(4)破坏情况 a、熊猫烧香病毒同时会开另一个线程连接某网站下载DDOS程序进行发动恶意攻击 具有破坏功能,可开启附件攻击行为,熊猫烧香感染计算机台数非常多,它就能发动多台电脑发起DDOS攻击。
本文将详细讲解熊猫烧香的行为机理,并通过软件对其功能行为进行分析,这将有助于我们学习逆向分析和反病毒工作。后续作者还将对其进行逆向调试,以及WannaCry勒索蠕虫、各种恶意样本及木马的分析。...IDA和OD作为逆向分析的“倚天剑和“屠龙刀”,学好它们的基本用法至关重要。本文重点分析熊猫烧香病毒的功能函数,大家掌握这些技巧后才能更好地分析更多的代码。...这次研究的“熊猫烧香”程序并没有加壳,但后续的文章我会详细分享加壳与脱壳的内容,更好地帮助大家理解病毒分析及保护措施。 首先打开PEiD工具人,然后将熊猫烧香病毒拖进去,会发现病毒的基本信息。...这三个call是熊猫烧香病毒最重要的功能,我们下一篇论文继续分析。...PE病毒行为机理分析 [系统安全] 十二.熊猫烧香病毒IDA和OD逆向分析(上)病毒初始化 同时补充作者制作的熊猫烧香病毒逆向关系图,希望对您有帮助。
如果你想成为一名逆向分析或恶意代码检测工程师,或者对系统安全非常感兴趣,就必须要认真分析一些恶意样本。熊猫烧香病毒就是一款非常具有代表性的病毒,当年造成了非常大的影响,并且也有一定技术手段。...本文将详细讲解熊猫烧香的行为机理,并通过软件对其功能行为进行分析,这将有助于我们学习逆向分析和反病毒工作。后续作者还将对其进行逆向调试,以及WannaCry勒索蠕虫、各种恶意样本及木马的分析。...IDA和OD作为逆向分析的“倚天剑和“屠龙刀”,学好它们的基本用法至关重要。本文重点分析熊猫烧香病毒的功能函数,大家掌握这些技巧后才能更好地分析更多的代码。...技术路上哪有享乐,为了提升安全能力,别抱怨,干就对了~ 上一篇文章讲解了“熊猫烧香”病毒样本的反汇编代码入口处的分析,接下来我们分析病毒的核心部,其分析思路基本一致,同时越深入核心部分会遇到越多的API...上一篇文章我们详细介绍了熊猫烧香病毒起始阶段的初始化操作,这篇文章将进入该病毒的核心功能函数,进行相关的逆向分析。
下面就给大家分享下,尝试“熊猫烧香”的后续情节。 在尝试“熊猫烧香”之前,我是把电脑所有网卡都禁用了,网线也拔掉了,总之,能够联网的东西全部禁用。...要返厂,也就是说,磁盘中的数据大概率会丢失。想想确实是自己手贱导致的,无语了。 于是我赶紧跟猫大人沟通了情况,我也做好了重新写稿的准备。 ? 就这样,在公司还是敲了一天代码,邻近下班时,开了个会。...主要是恢复下数据,其他的不重要。 他说:最好是整机返厂。 哎,没办法了,返厂就返厂吧,最好是把数据恢复。 这台电脑是一是半会儿不能用了,那咋办?...周末,把电脑寄回原厂,看看他们能不能恢复数据吧,这次真的是意外了,感觉要凉了,我特么都快裂开了。...这里,我想对小伙伴们说:千万不要轻易尝试“熊猫烧香”!千万不要轻易尝试“熊猫烧香”!千万不要轻易尝试“熊猫烧香”! 我电脑都这样了,小伙伴们还不点赞、在看、转发,三连走一波,安慰下我吗?
熊猫烧香(中)病毒释放机理 1、sub_40277C子函数 2、sub_405684子函数 3、sub_403ED4子函数 4、sub_4057A4子函数 5.分析sub_4057A4后续删除功能 6....8.sub_403ECC子函数 9.总结 1、sub_40277C子函数 第一步打开IDA pro加载我们的病毒样本 第二步,定位到loc_40CBE6的位置 这里我们看到了3个函数,这3个call是熊猫烧香病毒最重要的功能...第三步,在数据窗口中跟随EDX,EDX是个空值 第四步,进入后面的00405684 先选中EAX右键“数据窗口中跟随”。...病毒的编写者企图利用暴力P解的方式来攻破计算机中某些验证机制 我们F8步过这个函数看一下数据窗口的数据变化 当然这些内容还是非常多的,病毒作者也写入了很多其他信息,有兴趣的作者可以好好分析下。...在数据窗口中,可以看到eax的值为ebp+var_8的地址,通过OD可以知道,这个地址中保存的是0,可以理解为没有数据。
识别死代码或未使用的代码 的典型方法是通过静态分析或日志审查。现代 IDE 可以通过可达性分析检测未使用的死代码,但对于不是 100% 私有的类和方法存在健全性问题。...此决策的记录在三个地方之一进行:字节码解释器、AppCDS(应用程序类数据共享)或 Azul Platform Prime 的 ReadyNow 功能。...代码清单减少代码混乱 Azul 的代码清单不同于检测不可达代码的典型静态分析工具和 IDE。代码清单的监控从正在运行的 JVM 中进行,以识别存在但未运行的整个类或公共方法。
仅仅只用了一个月,李俊就造成了他的病毒,病毒用熊猫来做图标,这个就是曾经名震中国网络的熊猫烧香。李俊将他的熊猫烧香放上黑客群,用每套1000元左右的价格叫卖,居然卖出了120多套,赚了整整14万。...但熊猫烧香的真正用途是:制造虚假流量以及盗取游戏和QQ账号。严格来说,李俊的确是始作佣者,但熊猫烧香不是他传播的,熊猫烧香的买家才是传播的真凶。...到2007年的1月,熊猫烧香席卷中国网络,几乎所有的杀毒软件都对“熊猫烧香”措手无策。媒体开始疯狂报道熊猫烧香,而熊猫烧香的制造者也成为全民茶余饭后的谈资。...其实,当时的熊猫烧香为什么席卷网络?并不是这个病毒自身有多厉害,毕竟它的制造者只是个连病毒原理都没学习过的水泥专业中专生。...当年的熊猫烧香案令人印象深刻的不是审判结果,而是李俊那张年轻而且茫然的脸。
在研究院陈鹏(音译)和新华社合作撰写的《基于小数据集的大熊猫个体识别》一文中提到: 由于野生大熊猫生活在深山中,很难追踪,所以这款软件和数据库将帮助我们收集更精确和全面的,有关野生大熊猫的数量、分布、年龄...、性别比例,出生和死亡的的数据。...近年来的保护工作增加了野生大熊猫的数量,但总数仍然少于2000只,且大都生活在中国山区。 ? 和其他人脸识别系统一样,该应用程序是使用一个巨大的熊猫图片数据库构建的。...2017年,成都大熊猫繁育研究基地联合新加坡南洋理工大学、四川师范大学共同开展使用图像分析的大熊猫个体识别技术研究,两年来,建成含有12万余张图像、上万个视频片段的数据库;对近万张图片完成了标记、分割和注释...通过此数据库,实现了对圈养大熊猫脸部自动检测及大熊猫个体识别工作。运用此数据,大熊猫专家们还特别推出一款“认脸”APP,通过大熊猫脸部独有的特征数据,经过数据库分析、对比,实现对大熊猫的精确识别。
领取专属 10元无门槛券
手把手带您无忧上云
