91欧美超碰AV自拍|国产成年人性爱视频免费看|亚洲 日韩 欧美一厂二区入|人人看人人爽人人操aV|丝袜美腿视频一区二区在线看|人人操人人爽人人爱|婷婷五月天超碰|97色色欧美亚州A√|另类A√无码精品一级av|欧美特级日韩特级

搜索歷史

清空
搜索熱詞
      0
      • 聊天消息
      • 系統(tǒng)消息
      • 評論與回復(fù)
      VIP于 到期 續(xù)費
      登錄后你可以
      • 下載海量資料
      • 學(xué)習(xí)在線課程
      • 觀看技術(shù)視頻
      • 寫文章/發(fā)帖/加入社區(qū)
      會員中心
      創(chuàng)作中心
      發(fā)布
      創(chuàng)作活動

      完善資料讓更多小伙伴認識你,還能領(lǐng)取20積分哦,立即完善>

      3天內(nèi)不再提示

      惡意文件分析工具

      jf_hKIAo4na ? 來源:菜鳥學(xué)安全 ? 2023-08-24 16:36 ? 次閱讀
      加入交流群
      微信小助手二維碼

      掃碼添加小助手

      加入工程師交流群

      工具介紹

      capa 檢測可執(zhí)行文件中的功能。您針對 PE、ELF、.NET 模塊或 shellcode 文件運行它,它會告訴您它認為該程序可以做什么。例如,它可能表明該文件是后門、能夠安裝服務(wù)或依賴 HTTP 進行通信

      工具使用針對未知二進制文件 ( suspicious.exe) 運行 capa,該工具報告該程序可以發(fā)送 HTTP 請求、通過 XOR 和 Base64 解碼數(shù)據(jù)、安裝服務(wù)并生成新進程。總而言之,這讓我們認為這suspicious.exe可能是一個持久的后門。因此,我們的下一個分析步驟可能是在沙箱中運行suspicious.exe并嘗試恢復(fù)命令和控制服務(wù)器。通過傳遞-vv標志(非常詳細),capa 準確報告在哪里找到了這些功能的證據(jù)。這至少有兩個原因:
      • 它有助于解釋為什么我們應(yīng)該相信結(jié)果,并使我們能夠驗證結(jié)論,并且
      • 它顯示了經(jīng)驗豐富的分析師可以使用 IDA Pro 研究二進制文件中的哪些位置
      $ capa.exe suspicious.exe -vv
...
execute shell command and capture output
namespace   c2/shell
author      matthew.williams@mandiant.com
scope       function
att&ck      Execution::Command and Scripting Interpreter::Windows Command Shell [T1059.003]
references  https://docs.microsoft.com/en-us/windows/win32/api/processthreadsapi/ns-processthreadsapi-startupinfoa
function @ 0x4011C0
  and:
    match: create a process with modified I/O handles and window @ 0x4011C0
      and:
        number: 257 = STARTF_USESTDHANDLES | STARTF_USESHOWWINDOW @ 0x4012B8
        or:
          number: 68 = StartupInfo.cb (size) @ 0x401282
        or: = API functions that accept a pointer to a STARTUPINFO structure
          api: kernel32.CreateProcess @ 0x401343
    match: create pipe @ 0x4011C0
      or:
        api: kernel32.CreatePipe @ 0x40126F, 0x401280
    optional:
      match: create thread @ 0x40136A, 0x4013BA
        or:
          and:
            os: windows
            or:
              api: kernel32.CreateThread @ 0x4013D7
        or:
          and:
            os: windows
            or:
              api: kernel32.CreateThread @ 0x401395
    or:
      string: "cmd.exe" @ 0x4012FD
...

      1be64a16-4216-11ee-a2ef-92fbcf53809c.png

      capa 使用一組規(guī)則來識別程序中的功能。這些規(guī)則很容易編寫,即使對于逆向工程新手來說也是如此。通過編寫規(guī)則,您可以擴展 capa 識別的功能。在某些方面,capa 規(guī)則是 OpenIOC、Yara 和 YAML 格式的混合。

      以下是 capa 使用的規(guī)則示例:

      rule:
  meta:
    name: hash data with CRC32
    namespace: data-manipulation/checksum/crc32
    authors:
      - moritz.raabe@mandiant.com
    scope: function
    mbc:
      - Data::Checksum::CRC32 [C0032.001]
    examples:
      - 2D3EDC218A90F03089CC01715A9F047F:0x403CBD
      - 7D28CB106CB54876B2A5C111724A07CD:0x402350  # RtlComputeCrc32
      - 7EFF498DE13CC734262F87E6B3EF38AB:0x100084A6
  features:
    - or:
      - and:
        - mnemonic: shr
        - or:
          - number: 0xEDB88320
          - bytes: 00 00 00 00 96 30 07 77 2C 61 0E EE BA 51 09 99 19 C4 6D 07 8F F4 6A 70 35 A5 63 E9 A3 95 64 9E = crc32_tab
        - number: 8
        - characteristic: nzxor
      - and:
        - number: 0x8320
        - number: 0xEDB8
        - characteristic: nzxor
      - api: RtlComputeCrc32

      下載鏈接:

      鏈接:https://pan.quark.cn/s/01e6d73b416b

      項目地址:https://github.com/mandiant/capa


      聲明:本文內(nèi)容及配圖由入駐作者撰寫或者入駐合作網(wǎng)站授權(quán)轉(zhuǎn)載。文章觀點僅代表作者本人,不代表電子發(fā)燒友網(wǎng)立場。文章及其配圖僅供工程師學(xué)習(xí)之用,如有內(nèi)容侵權(quán)或者其他違規(guī)問題,請聯(lián)系本站處理。 舉報投訴
      • 服務(wù)器
        +關(guān)注

        關(guān)注

        14

        文章

        10251

        瀏覽量

        91480
      • HTTP
        +關(guān)注

        關(guān)注

        0

        文章

        537

        瀏覽量

        35347
      • 分析工具
        +關(guān)注

        關(guān)注

        0

        文章

        30

        瀏覽量

        5364

      原文標題:【藍隊】惡意文件分析工具

      文章出處:【微信號:菜鳥學(xué)安全,微信公眾號:菜鳥學(xué)安全】歡迎添加關(guān)注!文章轉(zhuǎn)載請注明出處。

      收藏 人收藏
      加入交流群
      微信小助手二維碼

      掃碼添加小助手

      加入工程師交流群

        評論

        相關(guān)推薦
        熱點推薦

        小米路由器任意文件讀取及遠程命令執(zhí)行漏洞解析

        存在任意文件讀取漏洞和遠程命令執(zhí)行漏洞,攻擊者通過該漏洞可以獲取服務(wù)器權(quán)限,導(dǎo)致服務(wù)器失陷。 二、漏洞復(fù)現(xiàn) 系統(tǒng)首頁地址及頁面顯示如下 ? ?http://xx.xx.xx.xx/cgi-bin
        發(fā)表于 03-01 15:09 ?5253次閱讀

        干掉電腦里所有的惡意軟件?。給電腦徹底洗個澡]

        干掉電腦里所有的惡意軟件??![給電腦徹底洗個澡]Winlogon.exe被惡意軟件劫持的時候,有些明顯的惡意文件連Unlocker都無法去除(在解鎖的時候系統(tǒng)已經(jīng)重新啟動了).信不信由你,這個只有
        發(fā)表于 06-16 13:46

        google惡意軟件警告提示怎么處理?

        google惡意軟件警告提示怎么處理?google惡意軟件警告處理方法按google說明:如果您檢查過網(wǎng)站并確認網(wǎng)站已恢復(fù)安全,便可以提交重新審核的請求:請注意,您需要先驗證網(wǎng)站的所有權(quán),然后才能
        發(fā)表于 04-27 11:23

        刪除任意文件(包括正在運行的) 綠色版

        刪除任意文件(包括正在運行的) 綠色版
        發(fā)表于 05-14 11:42

        基于注冊表Hive文件惡意程序隱藏檢測方法

        研究當今惡意程序的發(fā)展趨勢,系統(tǒng)比較了在注冊表隱藏和檢測方面的諸多技術(shù)和方法,綜合分析了它們存在的不足,提出了一種基于注冊表Hive文件來進行惡意程序隱藏檢測的方
        發(fā)表于 12-16 01:14 ?19次下載

        計算機惡意軟件的危害分析排行

        最危險的惡意軟件之一。 在過去的幾個月中,我們讀到過很多關(guān)于Necurs僵尸網(wǎng)絡(luò)活動的新聞,網(wǎng)絡(luò)騙子利用該網(wǎng)絡(luò)發(fā)送致命的Locky勒索軟件。 Proofpoint 上周的一份報告也指出,在所有通過垃圾郵件傳播的惡意文件中,Locky占97%。 Check Point發(fā)布的
        發(fā)表于 09-20 10:48 ?0次下載

        基于行為分析和KNN算法的惡意軟件檢測模型

        基于行為分析的檢測是一種動態(tài)分析技術(shù),可以很好的彌補靜態(tài)分析法在這方面的不足。由于惡意軟件的行為與正常軟件的行為具有很大的區(qū)別,通過對樣本運行過程中的行為進行捕捉,
        發(fā)表于 11-29 10:14 ?0次下載
        基于行為<b class='flag-5'>分析</b>和KNN算法的<b class='flag-5'>惡意</b>軟件檢測模型

        HookAds惡意廣告利用Windows漏洞下載惡意軟件負載

        近期,將訪客重定向至FalloutExploit Kit的HookAds惡意廣告活動猖獗。工具包經(jīng)激活后,會嘗試利用Windows的已知漏洞下載DanaBot銀行木馬、“夜賊(Nocturnal stealer)”信息竊取程序以及GlobeImposter勒索軟件等其他
        的頭像 發(fā)表于 11-19 15:04 ?3026次閱讀

        如何使用圖像紋理和卷積神經(jīng)網(wǎng)絡(luò)進行惡意文件的檢測方法

        在大數(shù)據(jù)環(huán)境下,針對傳統(tǒng)惡意文件檢測方法對經(jīng)過代碼變種和混淆后的惡意文件檢測準確率低以及對跨平臺惡意文件檢測通用性弱等問題,提出一種基于圖像紋理和卷積神經(jīng)網(wǎng)絡(luò)的惡意文件檢測方法。首先,
        發(fā)表于 12-12 16:59 ?0次下載

        CISA發(fā)布惡意軟件分析報告,包含19個惡意文件的詳細細節(jié)

        當?shù)貢r間9月15日,美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)發(fā)布了一份惡意軟件分析報告(MAR),該報告詳細介紹了19個惡意文件的細節(jié),其中包含有關(guān)伊朗黑客使用的Web Shell的技術(shù)細節(jié)。
        的頭像 發(fā)表于 09-18 16:00 ?2474次閱讀

        基于機器學(xué)習(xí)的惡意代碼檢測分類

        基于特征碼匹配的靜態(tài)分析方法提取的特征滯后于病毒發(fā)展,且不能檢測出未知病毒。為此,從病毒反編譯文件及其灰度圖出發(fā)進行特征提取及融合,采用機器學(xué)習(xí)中的隨機森林(RF)算法對惡意代碼家族進行分類,提取
        發(fā)表于 06-10 11:03 ?14次下載

        VeinMind Tools正式發(fā)布 v2.0版本

        VeinMind Tools 是基于 VeinMind SDK 打造的一個容器安全工具集,目前已支持鏡像惡意文件、后門、敏感信息、弱口令等掃描功能。此次更新的 v2.0 版本,優(yōu)化、增添了以下核心亮點功能:
        的頭像 發(fā)表于 02-23 09:27 ?1733次閱讀

        虹科分享|無文件惡意軟件將擊敗您的EDR|終端入侵防御

        文件惡意軟件攻擊大多無法檢測到。它們經(jīng)過精心設(shè)計,可以繞過NGAV、EPP和EDR/XDR/MDR等檢測和響應(yīng)網(wǎng)絡(luò)安全工具。 隨著無文件惡意
        的頭像 發(fā)表于 04-18 10:23 ?1324次閱讀
        虹科分享|無<b class='flag-5'>文件</b><b class='flag-5'>惡意</b>軟件將擊敗您的EDR|終端入侵防御

        一款用于Windows的開源反rookit (ARK)工具

        集合190+個,包括惡意程序逆向分析、安卓逆向分析、jar 逆向分析、開發(fā)工具、應(yīng)急分析
        的頭像 發(fā)表于 07-19 15:08 ?5783次閱讀
        一款用于Windows的開源反rookit (ARK)<b class='flag-5'>工具</b>

        賽門鐵克惡意軟件分析服務(wù)

        電子發(fā)燒友網(wǎng)站提供《賽門鐵克惡意軟件分析服務(wù).pdf》資料免費下載
        發(fā)表于 09-08 09:39 ?0次下載
        賽門鐵克<b class='flag-5'>惡意</b>軟件<b class='flag-5'>分析</b>服務(wù)