记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

介绍几种病毒样本分析格式并提出我们自己的分析策略

2015-07-20 05:35

数种病毒样本格式:

1卡巴斯基式病毒分析

详细到骨子里.有意图分析和模板关系.编写者特征等.IP溯源家常便饭.

2金山火眼式

基本信息 火焰点评 危险行为 其它行为 
行为描述 附加信息 注册表监控 网络监控

值得注意的是火眼使用最多两种哈希来确定一个样本.当然你可以使用其一.

\

3Comodo(毛豆)在线分析式

这是一张典型的使用毛豆进行扫描的结果:

Comodo的通过SHA256来进行样本查询操作:

4.SysTracer的监控报告

这里应该简单介绍一下SysTracer,它是一款行为追踪监控程序.”丧心病狂”地使用了大量的钩子:Shadow SSDT的667个函数全部被钩,SSDT也未能”幸免”,总共284个函数除了NtAcceptConnectPort,NtAddAtom,NtDeviceIoControlFile,NtYieldExecution外的280个函数全部被钩.这保证了一般恶意程序的行为会被完整地记录下来.值得注意的一点是,以往的跟踪经验发现互斥对象的建立并没有被SysTracer记录.此外由于机制所限对于内核程序的行为SysTracer就素手无策了.

以下是它的监控报告:

漏洞的利用?

强势的 自我保护 通常是为了掩盖更多的信息.也以为这制作者的团队规模非同寻常.这往往伴随着大量的机器被感染并可能组成 僵尸网络 .

这样的程序值得我们去用 卡巴斯基式分析 去探究.以使我们对样本研究给其它反病毒工程师提供更多信息.

知识来源: www.2cto.com/Article/201507/420691.html

阅读:74471 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“介绍几种病毒样本分析格式并提出我们自己的分析策略”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云