//文章来源:http://www.2cto.com/Article/201312/265217.html by Kungen@CyberSword 想要查找恶意样本,首先要知道查找样本所需的基本信息,包括病毒名称.样本文件名.HASH值.对于最新发现的病毒,SECURELIST.VirusTotal网站会第一时间放出病毒和样本的分析报告,这些分析报告中包含我们查找样本所需要的信息,以红色十月(Red October)病毒样本为例: SECURELIST上关于“红色十月”的分析文章中包含了样本文…

catalog . 引言 . sandbox introduction . Sandboxie . seccomp(short for secure computing mode): API级沙箱 . 利用do_syscall_trace一次性对所有系统调用进行Hook监控 . cuckoo . Detux . remnux . Noriben Malware Analysis Sandbox . Limon Sandbox for Analyzing Linux Malwares . 基于do…

Virut分析 0x00.综合描述 virut样本的执行过程大体可以分为六步:第一步,解密数据代码,并调用解密后的代码:第二步,通过互斥体判断系统环境,解密病毒代码并执行:第三步,创建内存映射文件,执行内存映射文件代码:第四步,遍历进程列表除前4个进程外其他进程全注入代码,挂钩七个函数:第五步,向注入进程创建远程线程(远程线程创建成功不再二次创建),感染hosts文件,感染移动磁盘,修改注册表添加防火墙信任列表,联网受控:第六步,恢复病毒修改的原函数调用,执行原程序功能.完整功能模块图如下: 0…

Nmap提供了强大的脚本引擎(NSE),以支持通过Lua编程来扩展Nmap的功能.目前脚本库已经包含300多个常用的Lua脚本,辅助完成Nmap的主机发现.端口扫描.服务侦测.操作系统侦测四个基本功能,并补充了其他扫描能力:如执行HTTP服务详细的探测.暴力破解简单密码.检查常见的漏洞信息等等.如果用户需要对特定的应用做更深入的探究,可以按照NSE脚本格式编写Lua脚本来增强Nmap的扫描能力. 1简单引入 1.1 实现原理 NSE(Nmap Scripting Engine)是Nmap最为强大…

Appscan的窗口大概分三个模块,Application Links(应用链接), Security Issues(安全问题), and Analysis(分析) Application Links Pane(应用程序结构) 这一块主要显示网站的层次结构,基于URL和基于内容形式的文件夹和文件等都会在这里显示,在旁边的括号里显示的数字代表存在的漏洞或者安全问题.通过右键单击文件夹或者URL可以选择是否忽略扫描此节点.Dashboard窗格会根据漏洞严重程序,高中低列出网站存在的问题情况,因此D…

1.样本概况 病毒名称 Virus.Win32.Virut.ce MD5 6A500B42FC27CC5546079138370C492F 文件大小 131 KB (134,144 字节) 壳信息 无壳 文件名 9-29_vir.exe(感染程序) 数字签名 NO 时间戳 2000年1月10日, 12:00:00 1.1 样本行为 恶意代码为感染型病毒,母体病毒通过将正常的PE文件进行加密,然后每个受感染的文件又可以进行全盘传播,通过连接国外IP服务器发送上线报文. 1.2 测试环境及工具 操作…

[-= 博客目录 =-] 1-实践目标 1.1-实践介绍 1.2-实践内容 1.3-实践要求 2-实践过程 2.1-Mac下网络监控 2.2-Windows下网络监控 2.3-Mac下恶意软件分析 2.4-Windows下恶意软件分析 2.5-基础问题回答 3-资料 1-实践目标 1.1-恶意代码分析 一般是对恶意软件做处理,让它不被杀毒软件所检测.也是渗透测试中需要使用到的技术. 要做好免杀,就时清楚杀毒软件(恶意软件检测工具)是如何工作的.AV(Anti-virus)是很大一个产业.其中主要…

MS Office CVE-2015-1641 恶意 Exploit 样本分析 在对最近的一个恶意 MS Office 文档样本进行分析时,我们发现了一些有趣的特性.这个文档利用 CVE-2015-1641 来释放和执行一个名为 Troldesh 的勒索软件. 本文我们会先分析漏洞成因,随后分析攻击者是如何让恶意文档躲避检测的. RTF 文档 我们要分析的 RTF 文档哈希值为72b14306c9f95536d03d88cf63204f70630dd9cd00664ad7f86c1d774c85…

基础问题回答 (1)如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么.请设计下你想监控的操作有哪些,用什么方法来监控. 监控网络连接 监控是否创建新的进程 监控注册表项目 监控系统日志 (2)如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息. PEID.ExeinfoPE等查壳工具内先查壳,通过入口特征和区段特征来识别,然后脱壳. TCPView.Wireshark等网络工具查看是否存在可疑连接 Systracer拍摄快照,比对前…

androidterm:   Android Terminal Emulator   http://code.google.com/p/androidterm/   droidbox:   Android Application Sandbox   https://code.google.com/p/droidbox/   TaintDroid:   Realtime Privacy Monitoring on Smartphones   https://github.com/TaintDroi…

这是暑假时看到的一篇病毒分析文章,觉得里面有很多东西值得学习,刚好这几天有空就将它翻译了出来.有不对的地方请大家指正! FakeKaKao木马分析 Virus Bulletin是一个关于流氓软件与垃圾邮件防护.侦测以及移除的杂志.它经常给出一些关于最新病毒威胁的分析,发表探索反病毒领域的最新进展,采访反病毒的专家,并且评估现存的反病毒产品. 1 假冒的KaKaoTalk安全插件分析 Android/FakeKaKao木马将自己伪装成一个KaKaoTalk安全插件,以诱导用户安装.一旦用户安装了这…

转自:http://www.nxadmin.com/penetration/825.html 之前有IBM Rational Appscan使用详细说明的一篇文章,主要是针对扫描过程中配置设置等.本文将介绍针对扫描结果的分析,也是一次完整的渗透测试必须经历的环节. 扫描开始的时候,Appscan会询问是否保存扫描结果,同时下方有进度条显示扫描的进度. 在扫描过程中,如果遇到任何连接问题或其他任何问题,可以暂停扫描并在稍后继续进行.如第一篇文章中讲的扫描包括两个阶段-探索.测试.Appscan种的…

题目:Deep Android Malware Detection 作者:Niall McLaughlin, Jesus Martinez del Rincon, BooJoong Kang 年份:2017 会议:CODASPY 2.解决的问题 之前的方法需要对程序进行分析然后提取具有识别能力的特征用于恶意软件的分类.在本文中应用卷积神经网络来对恶意软件进行分类,该方法是受到基于n-gram的恶意软件检测的启发,但不同于基于n-gram的恶意软件检测,对于n个操作数作为卷积神经网络的输入,卷积神…

逆向分析工具表 工具 描述 网址 androidterm Android Terminal Emulator http://code.google.com/p/androidterm/ droidbox Android Application Sandbox https://code.google.com/p/droidbox/ TaintDroid Realtime Privacy Monitoring on Smartphones https://github.com/TaintDroidh…

1 基础知识1.1 网络熟悉常见网络协议:https://www.ietf.org/standards/rfcs/1.2 操作系统1.3 编程2 恶意软件分析2.1 分类2.1.1 木马2.1.2 Botnet2.1.3 挖矿2.1.4 勒索软件2.1.5 后门2.1.6 病毒2.1.7 蠕虫2.2 外部资源• VirusTotalhttps://www.virustotal.com/#/home/upload • 样本下载https://www.malware-traffic-analysis…

DeepOrigin: End-to-End Deep Learning for Detection of New Malware Families 标签(空格分隔): 论文 论文基本信息 会议: IEEE(2018 International Joint Conference on Neural Networks [IJCNN]A类会议) 单位:公司Deep Instinct Ltd(以色列的一家网络安全公司) 方法概述 数据:训练集7759 + 测试集2163=9922个恶意样本文件,测试集…

来源:http://bbs.pediy.com/showthread.php?t=141124&highlight=ZeroAccess 总序这分成四个部分的系列文章,是一个完全的一步一步来分析ZeroAccess Rootkit的教程.它也被叫做Smiscar恶意软件,或叫做Max++ rootkit.透过循着教程一步步的看下去,你可以更深入更好的理解到在分析复杂到此种程度的现代rootkit时的思考过程.我们还推荐你把文中提到的工具们下载下来.以及找一个ZeroAccess的样本,并在阅读文…

title: alias导致virtualenv异常的分析和解法 toc: true comments: true date: 2016-06-27 23:40:56 tags: [OS X, ZSH, alias, virtualenv] category: OS X --- virtualenv 可以虚拟出一个独立的Python环境,在这个环境中安装的第三方库不会对系统中的Python产生影响.作为一个系统洁癖,我的系统中的Python环境只安装最主要的第三方库,我在开发Python项目的时…

注:本文操作基于CentOS 系统 准备工作 用wget从https://sourceware.org/systemtap/ftp/releases/下载最新版的systemtap.tar.gz压缩包,然后解压../configure; make; make install 安装到目标主机:执行命令 stap -ve 'probe begin { log("hello systemtap!") exit() }' 如果提示pass 5: run completed ... 就表示安装成…

一.箱线图 Box-plot 箱线图一般被用作显示数据分散情况.具体是计算一组数据的中位数.25%分位数.75%分位数.上边界.下边界,来将数据从大到小排列,直观展示数据整体的分布情况. 大部分正常数据在箱体中,上下边界之外的就是异常数据了. 上下边界的计算公式是: UpperLimit=Q3+1.5IQR=75%分位数+(75%分位数-25%分位数)1.5 LowerLimit=Q1-1.5IQR=25%分位数-(75%分位数-25%分位数)1.5 参数说明: 1.Q1表示下四分位数,即25%…

大多数开发人员更喜欢一次性编写好业务逻辑代码,以后再重用这些代码.与构建不同的应用以面向多个平台相比,这种方法更加容易.如果您创建与 .NET Core 兼容的.NET 标准库,那么现在比以往任何时候都更接近于这一现实. 但是,现有的 .NET Framework 库怎么办呢?要使这些跨平台兼容并将它们转换成 .NET 标准库,需要做多少工作呢? 使用工具 .NET Portability Analyzer进行分析.利用几个简单的技术并进行一些项目文件修改,这有助于简化这一流程. .NET Po…

UWP中新加的数据绑定方式x:Bind分析总结 0x00 UWP中的x:Bind 由之前有过WPF开发经验,所以在学习UWP的时候直接省略了XAML.数据绑定等几个看着十分眼熟的主题.学习过程中倒是也没遇到麻烦.直到在园子里看到了这篇文章: http://www.cnblogs.com/gaoshang212/p/4534138.html 原来UWP的绑定中新加了个x:Bind,从文章中可以看到x:Bind的效率是很高的.找到MSDN(数据绑定)看了一下(完整的学习目录可参见: http://w…

一 基础知识 在分析之前,先上一张图: 从上面可以看到,这个w3wp进程占用了376M内存,启动了54个线程. 在使用windbg查看之前,看到的进程含有 *32 字样,意思是在64位机器上已32位方式运行w3wp进程.这个可以通过查看IIS Application Pool 的高级选项进行设置: 好了,接下打开Windbg看看这个w3wp进程占用了376M内存,启动的54个线程. 1. 加载 WinDbg SOS 扩展命令 .load C:\Windows\Microsoft.NET\Fram…

最近自己实现了一个ZIP压缩数据的解压程序,觉得有必要把ZIP压缩格式进行一下详细总结,数据压缩是一门通信原理和计算机科学都会涉及到的学科,在通信原理中,一般称为信源编码,在计算机科学里,一般称为数据压缩,两者本质上没啥区别,在数学家看来,都是映射.一方面在进行通信的时候,有必要将待传输的数据进行压缩,以减少带宽需求:另一方面,计算机存储数据的时候,为了减少磁盘容量需求,也会将文件进行压缩,尽管现在的网络带宽越来越高,压缩已经不像90年代初那个时候那么迫切,但在很多场合下仍然需要,其中一个原因是…

ABP是一套非常优秀的web应用程序架构,适合用来搭建集中式架构的web应用程序. 整个Abp的Infrastructure是以Abp这个package为核心模块(core)+15个模块(module).其中13个依赖于Abp这个核心包.另外两个包(FluentMigration,Web.Resources)相对独立 Abp.AutoMapper: 实现对象之间的自动映射. Abp.EntityFramework:通过EntityFramework实现数据访问层. Abp.FluentMigra…

1. 引言     在红黑树--算法导论(15)中学习了红黑树的原理.本来打算自己来试着实现一下,然而在看了JDK(1.8.0)TreeMap的源码后恍然发现原来它就是利用红黑树实现的(很惭愧学了Java这么久,也写过一些小项目,也使用过TreeMap无数次,但到现在才明白它的实现原理).因此本着"不要重复造轮子"的思想,就用这篇博客来记录分析TreeMap源码的过程,也顺便瞅一瞅HashMap. 2. 继承结构 (1) 继承结构 下面是HashMap与TreeMap的继承结构: pu…

在ElasticSearch中,存入文档的内容类似于传统数据每个字段一样,都会有一个指定的属性,为了能够把日期字段处理成日期,把数字字段处理成数字,把字符串字段处理成字符串值,Elasticsearch需要知道每个字段里面都包含了什么类型.这些类型和字段的信息存储(包含)在映射(mapping)中. 核心简单字段类型 Elasticsearch支持以下简单字段类型: String:string(弃用), text, keyword(ElasticSearch 5.0开始支持,先以string介绍…

在分析python代码性能瓶颈,但又不想修改源代码的时候,ipython shell以及第三方库提供了很多扩展工具,可以不用在代码里面加上统计性能的装饰器,也能很方便直观的分析代码性能.下面以我自己实现的一个快排代码为例,带你使用集中不同的性能分析工具. def quick_sort(data, low, high): if low >= high: return left, right = low, high key = data[left] while left < right: whil…

前言: 从个人经历来说的话,从事APP开发这么多年来,所接触的APP的体积变得越来越大,业务的也变得越来越复杂,总来来说只有一句话:这是一个APP臃肿的时代!所以为了告别APP臃肿的时代,让我们进入一个U盘时代,每个业务模块都是一个具备独立运行的U盘,插在哪里都可以完美运行,这就是推进业务组件化的初衷也是一个美好的愿景. 业务组件化相关文章地址: Android业务组件化之现状分析与探讨 Android业务组件化之URL Scheme使用 Android业务组件化之子模块SubModule的拆分…

前面已经创建了两个 OVS local network,今天详细分析它们之间的连通性. launch 新的 instance "cirros-vm3",网络选择 second_local_net cirros-vm3 分配到的 IP 为 172.16.1.102 cirros-vm3 被 schedule 到控制节点,其虚拟网卡也连接到 br-int. 当前的控制节点上的网络结构如下: 下面我们讨论一个有趣的问题:cirros-vm3 能否 Ping 到 cirros-vm1 呢? 根…