记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

恶意样本分析手册-虚拟机检测篇(下)

阅读: 291在当今信息安全领域,特别是恶意软件分析中,经常需要利用到虚拟机技术,以提高病毒分析过程的安全性以及硬件资源的节约性,因此它在恶意软件领域中是应用越来越来广泛。这里我们所谓的虚拟机(Virtual Machine)是指通过软件模拟的具有完整硬件系统功能的、运行在一个完全隔离环境中的完整计算机系统。文章目录虚拟机检测一、VMWare1.1查找注册表1.2搜索特定程序1.3通过执行特权指令1.4查找特定的驱动模块1.5 CPUID1.6检测系统对象1.7查询csrss.exe内存中的可疑字符1.8硬件特征二、Virtual PC2.1使用非法指令:2.2检测系统对象2.3硬件特征三、VirtualBox3.1搜索注册表项3.2CPUID3.3硬件特征3.4搜索特定进程3.5查找底层模块四、SandBox
发布时间:2017-08-15 11:30 | 阅读:310249 | 评论:0 | 标签:安全分享 BOCHS CPUID SandBox SbieDll.dll Virtual PC VMware 虚拟机检测

Noriben沙箱:分分钟搞定恶意软件

我们希望大家能在新的一年里做的更好,尤其是能更快更有效地分析恶意软件。数年前,我构建了一个恶意软件分析沙箱脚本,用于每日的分析和逆向工作。现在让我给大家展示下如何在几秒钟内,不用太多设置,就能进行恶意软件分析。介绍如果你在推特上关注了我,或者对本博客以前的内容有所了解,你可能就会熟悉Noriben。不管怎样,我这里先做个介绍,它是一个非常简单的脚本。在典型行为的分析中,可能会在沙箱里运行恶意软件,看它会如何创建,如何运行进程,以及对系统产生了什么影响。大多数团队所用的方法,是将恶意软件上传到如VirtusTotal之类的反病毒测试网站,或者钟情于在线沙箱如Malwr,或者干脆使用本地的Cuckoo沙箱。对于那些上传文件到互联网的团队,我只能说着这种行为对APT攻击来讲是非常不明智的。黑客如
发布时间:2016-01-22 20:45 | 阅读:162398 | 评论:0 | 标签:工具 系统安全 Noriben sandbox 沙箱

SAE云服务安全沙箱绕过

By kxlzx http://www.inbreak.net 微博:http://t.qq.com/javasecurityps:此漏洞,新浪已修复。摘要新浪有云服务(SAE),提供PHP、JAVA等环境,供用户搭建网站,用户都在同一个云上,为了防止恶意用户在云上面DDOS,旁注黑掉其他云用户什么的,所以必须做安全限制,至少不允许用户调用某些关键函数。java对这种需求,有完美解决方案的,提供安全沙盒,有了安全沙盒,就限制了很多函数。但是java也有出漏洞的时候,今年新出了漏洞CVE20120507,绕过安全JAVA沙箱,新闻上讲,这个漏洞被用来黑苹果电脑。这个漏洞相关的技术,老外有分析文,国内也有分析文,虽然作者还是抱有疑问,但是并没有深究,所以原理方面的东西,就不献丑了。本文的目的,是把这个漏洞换个场景利
发布时间:2013-01-09 03:30 | 阅读:94280 | 评论:0 | 标签:Java Security WEB SECURITY 原创文章 java sae sandbox security

SAE云服务安全沙箱绕过2(利用crackClassLoader)

by 空虚浪子心 http://www.inbreak.net 微博:http://t.qq.com/javasecurity摘要绕过安全沙盒技术,并非只有使用java漏洞才能做。在作者的文章《SAE云服务安全沙箱绕过》(http://www.inbreak.net/archives/389)中提到了一种使用java沙盒漏洞,绕过沙盒的例子。事实上,bypass了SAE沙盒后,作者把目标已经换成了GAE,但是这是很郁闷的,google跟一块铁板似的,作者想了很多办法,都没有搞定它。然而回头一看,作者使用的部分技术,完全是可以再次bypass新浪sae的,处于这种心态,作者这次利用sae开发人员的沙盒设置失误,又一次bypass了sae沙盒。(此漏洞新浪已修补)正文查看沙盒环境来到一个沙盒,首先要看看环境,我们放
发布时间:2013-01-09 03:30 | 阅读:101271 | 评论:0 | 标签:Java Security WEB SECURITY 原创文章 java sae sandbox security

SAE云服务安全沙箱绕过3(绕过命令执行防御)

by 空虚浪子心 http://www.inbreak.net 微博:http://t.qq.com/javasecurity摘要谢各位捧场,经过努力,作者已经打到了第三关,这一关叫做“命令执行关”。也不知道是因为作者描述不清楚,还是SAE的理解出现偏差,我们没有直接沟通过,只是作者写篇文章,先交给那边“审核”,“审核”通过后,才发布了,所有的交流,都仅限于文章本身。这种沟通的障碍,是此次绕过安全防御的起始。在作者的第二关:《SAE云服务安全沙箱绕过2(利用crackClassLoader)》(http://www.inbreak.net/archives/411)一文中,提到利用crackClassLoader,绕过java安全沙箱的例子,文末作者以一个命令的成功执行结尾,并且使用cat命令,打出了其他云用户
发布时间:2013-01-09 03:30 | 阅读:122584 | 评论:0 | 标签:Java Security WEB SECURITY 原创文章 java sae sandbox security

SAE云服务安全沙箱绕过4(绕过文件权限防御)

by 空虚浪子心 http://www.inbreak.net 微博:http://t.qq.com/javasecurity摘要谢各位捧场,已经打到第四关了。经过几次交流,发现SAE的童鞋对安全很重视,而且持“欢迎来搞”的态度,对这样的态度,给予肯定,有了这样的态度,作者才有了继续下去的欲望,我们都相信SAE最终会变得越来越安全。正文前文《SAE云服务安全沙箱绕过3(绕过命令执行防御)》(http://www.inbreak.net/archives/426),作者利用了SAE仅仅限制EXEC命令,没有限制其他函数的漏洞,打破了整个沙盒的防御,最后给出的建议中,作者也提到了对沙盒的防御方式。SAE接受了常规的沙盒安全方案,不再局限于限制某个函数等策略。现在到处都是限制,这对于作者来说真是艰难困苦的开始,感觉S
发布时间:2013-01-09 03:30 | 阅读:143093 | 评论:0 | 标签:Java Security WEB SECURITY 原创文章 java sae sandbox security

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云