关于恶意代码的一些TIPS
(一)什么是恶意代码
(二)恶意代码的传播方式和防范工具
(三)关于恶意代码的同源分析技术
01
什么是恶意代码
恶意代码(malicious code)又称为恶意软件(malicious software,Malware),是能够在计算机系统中进行非授权操作的代码。
02
恶意代码的分类
分类恶意代码的标准主要是代码的独立性和自我复制性,独立的恶意代码是指具备一个完整程序所应该具有的全部功能,能够独立传播、运行的恶意代码,这样的恶意代码不需要寄宿在另一个程序中。
非独立恶意代码只是一段代码,必须嵌入某个完整的程序中,作为该程序的一个组成部分进行传播和运行。对于非独立恶意代码,自我复制过程就是将自身嵌入宿主程序的过程,这个过程也称为感染宿主程序的过程。
对于独立恶意代码,自我复制过程就是将自身传播给其他系统的过程。不具有自我复制能力的恶意代码必须借助其他媒介进行传播。
恶意代码类型多种多样,包括计算机病毒、蠕虫、木马程序、后门程序、逻辑炸弹等。每一类恶意代码往往会在以下三个方面存在相似性。
(1)关键代码段
指为了实现某一恶意功能,同源恶意代码在关键代码片段(如DLL注入、RPC服务)具有相似性,这些相似代码片段也被称为基因码。
(2)系统函数调用
恶意行为的操作通常依赖对操作系统函数的调用,同源恶意代码调用的函数名称、频次、顺序等可能存在类似。
(3)功能行为
每一类恶意代码都有针对性的破坏行为,如勒索软件会读写用户数据、远程控制木马会查看屏幕或摄像头,功能行为的相似性反映在文件、进程、网络及注册表等方面。
03
恶意代码的防范
为了确保系统的安全与畅通,已有多种恶意代码的防范技术,如恶意代码分析技术、误用检测技术、权限控制技术和完整性技术等。
(一)、恶意代码分析技术
恶意代码分析是一个多步过程,他深入研究恶意软件结构和功能,有利于对抗措施的发展。按照分析过程中恶意代码的执行状态可以把恶意代码分析技术分成静态分析技术和动态分析技术两大类。
(1).静态分析技术
静态分析技术就是在不执行二进制程序的条件下,利用分析工具对恶意代码的静态特征和功能模块进行分析的技术。该技术不仅可以找到恶意代码的特征字符串、特征代码段等,而且可以得到恶意代码的功能模块和各个功能模块的流程图。
(2).动态分析技术
动态分析技术是指恶意代码执行的情况下,利用程序调试工具对恶意代码实施跟踪和观察,确定恶意代码的工作过程,对静态分析结果进行验证。
(二)、误用检测技术
误用检测也被称为基于特征字的检测,这是目前检测恶意代码最常用的技术,主要源于模式匹配的思想。
其检测过程中根据恶意代码的执行状态又分为静态检测和动态检测:A、静态检测是指脱机对计算机上存储的所有代码进行扫描;B、动态检测则是指实时对到达计算机的所有数据进行检查扫描,并在程序运行过程中对内存中的代码进行扫描检测。
关于恶意代码的同源分析(Homology Analysis)
指通过恶意代码内外部特性以及生成和传播的规律,分析恶意代码之间衍生的关联性。
同源关系有很多种,包括:家族同源、开发者同源、类型同源或者攻击源同源等。但传统的检测技术如黑白名单、特征码匹配等,已无法对恶意代码的变种进行有效检测。
背靠国防科大、清华大学、中科院等高校团队多年技术深耕结果,泛联新安的BinSearch产品团队初步实现基于函数级特征、基于文件级特征、基于大数据机器学习的二进制同源分析混合协同引擎技术,并已成功应用于二进制代码大规模同源分析平台BinSearch产品,它可以帮助检测、预警恶意代码,制定应急响应方案以及预测事件发展趋势。
http://www.ubisectech.com/product/?id=76
关于恶意代码的一些TIPS相关推荐
- 20145236《网络攻防》Exp4 恶意代码分析
20145236<网络攻防>Exp4 恶意代码分析 一.基础问题回答 如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么.请设计下你想监控的操作有哪些 ...
- WEBSHELL恶意代码批量提取清除工具
场景 使用D盾扫描到WEBSHELL后可以导出有路径的文本文件. 最后手动去把WEBSHELL复制到桌面然后以文件路径命名,挨个删除. D盾界面是这样的. 手动一个个找WEBSHELL并且改名效率太低 ...
- 20145328 《网络对抗技术》恶意代码分析
20145328 <网络对抗技术>恶意代码分析 ------看到这句话说明还没写完-------- 实践内容: 使用schtasks指令监控系统运行 使用sysmon工具监控系统运行 使用 ...
- VMware Mac版本漏洞可任意执行恶意代码
日前安全研究人员发现了一个存在于虚拟化软件VMware Mac版本Fusion中的严重安全漏洞,该漏洞可以通过Windows虚拟机在Mac主机上执行恶意代码,VMware已经发布了Fusion 2.0 ...
- Mozilla两款火狐插件包含恶意代码被紧急喊停
ozilla基金会当地时间周五从火狐浏览器插件网站撤下了2款包含有恶意代码的插件:Sothink Web Video Downloader 4.0和所有版本的Master Filer,这两款插件都包含 ...
- 2018-2019-2 20165313 《网络对抗技术》Exp4 恶意代码分析
一.实践目标 1.监控你自己系统的运行状态,看有没有可疑的程序在运行. 2.分析一个恶意软件,就分析Exp2或Exp3中生成后门软件:分析工具尽量使用原生指令或sysinternals,systrac ...
- 2018-2019-2 网络对抗技术 20165324 Exp4:恶意代码分析
2018-2019-2 网络对抗技术 20165324 网络对抗技术 Exp4:恶意代码分析 课下实验: 实践目标 是监控你自己系统的运行状态,看有没有可疑的程序在运行. 是分析一个恶意软件,就分析E ...
- 2018-2019-2 网络对抗技术 20165320 Exp4 恶意代码分析
2018-2019-2 网络对抗技术 20165320 Exp4 恶意代码分析 一.实践目标 监控你自己系统的运行状态,看有没有可疑的程序在运行 分析一个恶意软件,就分析Exp2或Exp3中生成后门软 ...
- Exp4 恶意代码分析 20164303 景圣
Exp4 恶意代码分析 实验内容 实验点一:系统运行监控 (1)使用如计划任务,每隔一分钟记录自己的电脑有哪些程序在联网,连接的外部IP是哪里.运行一段时间并分析该文件,综述一下分析结果.目标就是找出 ...
最新文章
- 2016.9.9《Oracle查询优化改写技巧与案例》电子工业出版社一书中的技巧
- mfc 消息消息队列概念_必看入门秘籍——解密原理:消息中间件之RabbitMQ
- 绵阳市公文写作和计算机应用,【绵阳】绵阳市事业单位公开招聘工作人员公文写作和计算机应用笔试和复习大纲...
- 股市心态决定成败:不贪不惧不急不赌
- 用有穷状态自动机描述计算机网络的传输层协议,计算机网络基椽—第八章(传输层)(全).ppt...
- android学习笔记---使用AsyncTask实现异步处理,内部使用线程加Handler
- 苹果手机与安坐手机input输入框ios 会有灰色背景解决方法
- 微型计算机 持续更新,2020年南京邮电大学810《微机原理及应用》硕士研究生入学考试大纲...
- linux格式化外接硬盘命令,linux格式化硬盘命令
- Springmvc集成CXF请看教程二
- [bzoj1878][SDOI2009]HH的项链
- win10计算机休眠快捷键,win10睡眠快捷键,win10睡眠按啥键唤醒
- jemalloc java_jemalloc源码结构分析
- 教程丨如何在AdsPower浏览器内快速配置UCloud 服务器
- 寒江独钓前辈的第一个例子的部分分析
- CAN光纤转换器,光纤转can模块使用说明
- Navicat远程连接Linux上的Mysql数据库
- 超链接标签:a标签的基本用法
- ListView里面的自定义控件
- 日记侠:农妇都开始写软文了,你还等什么?