- 综合排序
- 最热优先
- 最新优先
- 来自专栏黑白天安全团队
11.反恶意软件扫描接口 (AMSI)
Windows 反恶意软件扫描接口 (AMSI) 是一种通用接口标准,可以集成在应用程序和服务与机器上存在的任何反恶意软件产品中。可以增强杀毒软件的查杀能力。 在执行之前, 防病毒软件使用以下两个 API 来扫描缓冲区和字符串以查找恶意软件的迹象。 任何应用程序都可以调用它;任何注册的反恶意软件引擎都可以处理提交给它的内容。 5.amsi从循环缓冲区取出内容传递给杀毒软件。 6.杀毒软件拿到数据后判断宏是否为恶意的。 6.如果行为是无恶意的,那么宏可以执行。否则,关闭宏会话并发出响应警报和处理恶意文件。 通过 AMSI 发送的行为日志可能包括诸如从中下载恶意数据的可疑 URL、已知与恶意软件相关联的可疑文件名等信息。
5.9K20发布于 2021-07-19 - 来自专栏linux运维
恶意软件感染:系统被恶意软件感染
断开网络连接首先,断开受感染系统的网络连接,以防止恶意软件进一步传播或与外部通信。 使用杀毒软件进行扫描使用专业的杀毒软件对系统进行全面扫描,检测并清除恶意软件。ClamAV:ClamAV 是一个开源的杀毒软件,适用于 Linux 系统。 检查系统日志查看系统日志,寻找恶意活动的迹象。 检查启动项和服务检查系统启动项和服务,确保没有恶意程序在系统启动时运行。 恢复系统如果恶意软件已经造成了严重损害,可能需要恢复系统。备份重要数据:在恢复系统之前,确保备份所有重要数据。
51900编辑于 2025-02-06 - 来自专栏FreeBuf
Windows 11更新要小心了,恶意软件已经盯上它
而就在Windows 11系统广泛部署阶段,RedLine恶意软件团伙已经悄悄盯上了这波更新,已经做好了充足的攻击前准备。 攻击者们首先制作了虚假的、相似度非常高的Windows 11升级安装程序,并开始大规模地向Windows 10用户分发虚假升级程序,诱使他们下载和执行 RedLine 恶意软件。 RedLine 恶意软件是目前部署最广泛的密码、浏览器 cookie、信用卡和加密货币钱包信息抓取程序,一旦感染可能会对受害者造成严重的后果。 HP安全研究人员发现了这一攻击活动,攻击者使用看似合法的“windows-upgraded.com”域来分发恶意软件。 △ 用于恶意软件分发的虚假网站(HP) 随后,解压缩文件会生成一个大小为 753MB 的文件夹,其高达99.8%的压缩率令安全研究人员印象深刻,这主要归功于可执行文件中字节的填充。
74220编辑于 2022-02-25 - 来自专栏全栈程序员必看
win11频繁更新,关闭win11恶意软件删除工具补丁更新
win11补丁更新主要包含4部分: 第一部分功能更新,涉及Windows功能bug、新增的功能等; 第二部分质量更新,涉及安全风险的更新; 第三部分驱动更新,涉及厂商等提交给微软的驱动,进行更新; 第四部分其它更新 ,目前主要发现的是,恶意软件删除工具更新。 恶意软件删除工具,如果有第三方安全软件的话,这个补丁意义不大,并且恶意的标准是微软自家定义的,就看你是否接受微软自带的杀毒软件,如果用可以更新,如果不用该补丁频率高,无必要。 关闭“恶意软件删除更新”,只需要用dism++关闭,步骤如下: 1、打开腾讯的软件中心,输入dism++;腾讯软件中心-海量软件高速下载 (qq.com) https://pc.qq.com/ 2、按下图下载并解压打开
2.1K40编辑于 2022-09-12 - 来自专栏进步集
恶意软件分析
⭐️前言 恶意软件,改你的注册表,搞你的启动项。 让他的软件自动运行,我们如何避免? 我们要用process monitor分析一下! 跟上爆哥的节奏! 看看这个间谍软件做了什么 真的可怕。他会改你的注册表,把自己加到启动菜单 !!!!!!!!!! 其次了,windbg也很棒,用来看内核程序,分析rootkit这样的内核恶意程序离不开他!
1K30编辑于 2023-04-12 - 来自专栏网络安全技术点滴分享
MoP恶意软件仿真框架,模拟测试各种恶意软件
系统概述 MoP(Master of Puppets)是一个高级恶意软件追踪框架,旨在模拟和控制远程访问工具(RAT)的行为。 该系统通过插件化的方式支持多种RAT,并提供了丰富的功能来模拟恶意软件的行为,包括文件系统操作、网络连接、进程管理等。 MoP的核心目标是帮助安全研究人员分析和追踪恶意软件的行为,尤其是在沙箱环境中进行动态分析。 :安全研究人员可以使用MoP来模拟恶意软件的行为,分析其网络通信、文件操作、进程管理等行为。 MoP适用于恶意软件分析、沙箱环境测试和安全工具开发等多种场景。 github链接地址:https://github.com/intezer/MoP.git
39800编辑于 2025-06-16 - 来自专栏betasec
恶意样本 | 常用恶意软件分析平台
声明:本人坚决反对利用文章内容进行恶意攻击行为,一切错误行为必将受到惩罚,绿色网络需要靠我们共同维护,推荐大家在了解技术原理的前提下,更好的维护个人信息安全、企业安全、国家安全。 0x01 前言 做为一名网络安全爱好者在日常工作中难免会用到一些恶意软件检测平台,用来分析一些木马样本,例如:钓鱼邮件的恶意样本分析,分析网上下载的工具是否存在木马后门,自己编写了免杀工具查看其免杀效果等 接下来,小编通过网上搜集了一些恶意软件检测的在线平台,总结如下: 0x02 恶意软件检测分析平台 VirSCAN: https://www.virscan.org VirusTotal: https:/
3.4K30编辑于 2022-12-11 - 来自专栏FreeBuf
这个恶意软件可绕过Win11 UEFI安全启动
来自 ESET 的安全研究人员近日发现了一种劫持 UEFI 的恶意软件,并将其命名为 BlackLotus。 该恶意软件被认为是首个可以在 Win11 系统上绕过 Secure Boot 的 UEFI bootkit 恶意软件。 设备一旦感染该恶意软件,就会在 Win11 系统中禁用 Defender、Bitlocker 和 HVCI 等防病毒软件。 该恶意软件最早可以追溯到 2022 年 10 月,在黑客论坛上以 5000 美元的价格出售。 www.bleepingcomputer.com/news/security/blacklotus-bootkit-bypasses-uefi-secure-boot-on-patched-windows-11
1.4K10编辑于 2023-03-29 - 来自专栏FreeBuf
Adwind家族恶意软件
该站提供每月订阅,并且能够直接购买软件,如图7所示。一些研究人员认为这是一种“恶意软件即服务”(maas)模式。 ? Alien Spy Alienspy[.]Net于2014年6月7日注册。 图12所示的用于重新命名的徽标与图11所示的jbifrost的徽标基本上没有变化。 恶意软件运营商使用一种称为“crypting”的技术来避免基于签名的防病毒检测。该技术将修改恶意软件二进制文件,使其具有新的、唯一的哈希值,而不改变其功能。 █████ M█████ City: C███████ State: T██████ Country: Mexico 攻击仍在持续 自2012年起,Adwind Rat家族的销售已经导致了数以万计的恶意软件样本在野外和数以百万计的恶意软件攻击 在过去的八年里,Adwind Andres一直试图隐藏自己作为这个恶意软件的作者的身份,但没有成功。时至今日,他仍在继续开发这一软件,并从出售软件中获利。
1.3K00发布于 2019-10-10 - 来自专栏FreeBuf
Aveo恶意软件分析
Aveo 恶意软件家族与 ForrmerFirstRAT 恶意软件家族有密切的联系,二者都针对日语用户。Aveo 会伪装成 Microsoft Excel 文档,并在执行时抛出诱饵文件。 Aveo 恶意软件家族 Aveo 恶意软件会在开始运行一个安装程序,该程序会复制自身到以下位置:%APPDATA%\MMC\MMC.exe如果因为某种原因,%APPDATA%\MMC 目录不能被创建,Aveo 恶意软件自身复制完成后,将会在新的进程中以原文件名为参数执行 MMC.exe。当执行时,如果提供了这单个参数,恶意软件将会删除掉制定路径内的文件。 Aveo 对注册表进行以下设置,以指向恶意软件的路径,从而保证重新启动后恶意软件仍然可以持久工作:HKCU\software\microsoft\windows\currentversion\run\msnetbridge 正如前面讨论的 FormerFirstRAT 样本,这个恶意软件家族看起来也是针对日语用户。使用自解压文件的 WinRAR 释放诱饵文档和 Aveo 的恶意软件副本以及清理脚本。
1.2K60发布于 2018-02-09 - 来自专栏北京马哥教育
Linux恶意软件简史
——那些年困扰Linux的蠕虫、病毒和木马 虽然针对Linux的恶意软件并不像针对Windows乃至OS X那样普遍,但是近些年来,Linux面临的安全威胁却变得越来越多、越来越严重。 但早在2000年之前,Linux恶意软件就以某种形式出现在我们周围了。让我们一起来回顾一下吧。 Staog(1996) 首个公认的Linux恶意软件是Staog,一种试图将自身依附于运行中的可执行文件并获得root访问权限的基本病毒。 Windigo造成服务器生成垃圾邮件、中转恶意软件并重定向链接。根据ESET安全公司,Windigo的威胁依然存在,系统管理员们万不可麻痹大意。 特拉史诗间谍软件(2014) 研究人员本周早些时候发现了一场来自俄罗斯的大型网络间谍软件活动,使用的特拉史诗(Epic Turla)间谍软件是一款基于早在2000年就出现的名为cd00r的全方位后门访问程序
2.8K70发布于 2018-05-03 - 来自专栏韩曙亮的移动开发专栏
【Android 插件化】恶意软件判定规则 | 恶意软件的范围定义
文章目录 一、恶意软件判定规则 二、恶意软件的范围定义 一、恶意软件判定规则 ---- 在 【Android 插件化】基于插件化的恶意软件的加载策略分析 ( 自定义路径加载插件 | 系统路径加载插件 | App-Virtualization’s Clothing 中给出了判定 插件化软件 是否是恶意软件的标准 ; Google 官方明确反对 静默加载插件 和 隐藏应用操作 , 上述两个操作都会被认定为恶意操作 , 2 个条件 , 那么该插件化应用会被标记为可疑应用 , 可能是恶意软件 , 也可能是用户选择不创建 Launcher 应用启动图标 ; 二、恶意软件的范围定义 ---- 这个判定规则个人感觉有点严格 , 只要是违反了 Google 的安全政策 , 都可以被判定为恶意软件 , 并不是只有作出恶意行为的 APK 会被判定为恶意软件 ; 假如插件中作出了恶意行为 , 如盗取用户数据 , 拦截电话 等操作 ; 插件安装前经过用户同意了 , 则不会被判定为恶意软件 ; VAHunt 准确的说是检测使用了 插件化引擎 的软件中 , 那些不经过用户同意 , 就私自安装插件的软件 , 仅仅是检测这一类的软件 ;
93210编辑于 2023-03-29 - 来自专栏安恒信息
新型恶意勒索软件VirLock
近日,研究人员发现勒索软件家族又添新成员,一个可自我复制的版本VirLock(又称VirRansom)。 VirLock的攻击范围很大,多种类型的文件都受到影响,如文档、图片、音频、视频、压缩文件。 VirLock与以往的勒索软件不一样,它不仅会对文件进行加密,同时还会使用让计算机“锁屏”的恶劣手段。 当屏幕处于锁屏状态时,VirLock会终止exploer.exe的进程以进行恶意操作。 与其他勒索软件一样,一旦感染了这种恶意程序,攻击者就会以侵犯著作权为由向受害者索要0.652个比特币(大约216美元)。
79240发布于 2018-04-11 - 来自专栏信安之路
macOS 恶意软件分析过程
植入 shell、恶意软件、留持久化的后门。 ,如有不适之处,请斧正:) ---- 来自卡巴斯基实验室的恶意软件研究人员发现了一种名为 Calisto 的恶意软件,它似乎是 Proton macOS 恶意软件的前身。 该恶意软件早在 2016 年就被上传到 VirusTotal,很可能是在创建它的同一年。 为了便于说明,我们将恶意软件文件与从官方网站下载的 Mac Internet Security X9 版本进行比较。 ? ? 它看起来相当有诱惑力。 将自己添加到启动是 macOS 的一种经典技术,可以通过在 /Library/LaunchAgents/folder 中创建一个带有恶意软件链接的 .plist 文件来完成: ? ?
2.3K00发布于 2018-08-08 - 来自专栏FreeBuf
第一起 | 国内恶意软件用伪基站传播Android恶意软件
根据外媒报道称,中国的恶意软件开发者正在使用伪基站(BTS)发送包含Android恶意软件链接的恶意短信。 这是恶意软件开发者使用基站传播恶意软件的第一起案例,也是Avast 2014年发布的趋势预测中的一种可能,只是直至目前才得以实现。 来自腾讯安全的研究人员发现,这种恶意软件只在中国活跃。 Swearing组织部署其恶意软件的方式与其他任何Android恶意软件相比都是独一无二而又见所未见的。 Swearing恶意软件有望在全球范围内传播 近日,Check Point报道称,稍微修改过的Swearing恶意软件正在发起新一轮攻击。 就像HummingBad恶意软件一样,利用Swearing恶意软件的攻击活动预计也将传播至全球其他国家,尤其是使用BTS设备来诱骗用户安装恶意软件的有效载荷将进一步推动这种蔓延趋势。
1.3K100发布于 2018-02-23 - 来自专栏FreeBuf
恶意软件狩猎新途径:使用.NET元数据分析跟踪恶意软件
深入分析之后,我还专门为该样本编写了Yara检测规则,当时我便意识到,我是不是也可以写一些Yara规则来识别.NET开发的恶意软件或.NET程序集。 在这篇文章中,我将跟大家分享如何使用.NET元数据分析、跟踪和分类恶意软件的相关内容。 它支持输入一个文件、整个样本文件夹或恶意软件代码库,该工具会跳过任意非.NET代码,并报告Typelib、MVID和Typelib ID。 下面给出的是我遇到的一个恶意软件集群活动示例: 这里涉及到大量的样本集(1300个),主要针对的是SteamStealer。 ,简而言之,就是通过可靠的方法提取两个唯一GUID(Typelib和MVID)来识别恶意软件。
56210编辑于 2024-04-25 - 来自专栏FreeBuf
Glupteba恶意软件变种分析
最近发现了恶意软件glupteba的网络攻击行为。它是一个旧的恶意软件,曾在名为“windigo”的行动中出现过,并通过漏洞传播给windows用户。 在研究了近期发现的glupteba变体之后,我们发现glupteba恶意软件之外的两个未经记录的组件: 1、浏览器窃取程序,它可以从浏览器中窃取敏感数据,例如浏览历史记录、网站cookies、帐户名和密码 攻击者仍在改进他们的恶意软件,并试图将他们的代理网络扩展到物联网设备。 ? ? Glupteba下载分析 下载的二进制文件由一个自定义打包程序打包,用go编程语言编写,并编译为可执行文件。 C&C更新能力 后门有大部分标准功能,该恶意软件可以通过discoverdomain功能通过区块链更新其c&c服务器地址。 discoverdomain函数可以通过发送后门命令运行,也可以由自动运行。 安全建议 恶意软件是一种广泛存在的威胁,会影响用户和企业。从网关、端点、网络和服务器,多层的安全方法非常重要。
1.4K30发布于 2019-10-15 - 来自专栏FreeBuf
Black Kingdom恶意软件分析
在2019年发现了针对Microsoft Exchange Server 漏洞的勒索软件Black Kingdom ,该恶意软件由python编码。 今年再次发现其恶意活动,该勒索软件利用 Microsoft Exchange 漏洞 (CVE-2021-27065)进行传播。 恶意软件会生成一个 64 个字符的伪随机字符串,然后获取字符串的 MD5 哈希值并将其用作 AES-256 加密的密钥。 如果没有任何参数传入,恶意软件将会枚举系统文件,然后多进程对文件进行加密。 ? Black Kingdom 还会枚举各种驱动器号并对其进行加密,并在每个加密目录留下勒索信息。 ? IOC 文件哈希 b9dbdf11da3630f464b8daace88e11c374a642e5082850e9f10a1b09d69ff04f c4aa94c73a50b2deca0401f97e4202337e522be3df629b3ef91e706488b64908
76830发布于 2021-07-27 - 来自专栏FreeBuf
MacOS恶意软件Shlayer分析
近两年来,Shlayer木马一直是MacOS平台上最常见的恶意软件,十分之一的MacOS用户受到它的攻击,占该操作系统检测到攻击行为的30%。 技术细节 从技术角度来看,Shlaye是一个相当普通的恶意软件。在所有变体中,只有最新的木马下载程序OSX.Shlayer.e与众不同。此恶意软件的变体是用Python编写的,其算法也有不同。 首先,它在Safari中安装一个恶意扩展,将操作系统安全通知隐藏在恶意软件伪造窗口后。单击通知中的按钮,用户就会同意安装扩展。 ? 软件传播 恶意软件传播是其生命周期的重要组成部分,Shlayer为了解决这个问题制定了很多方案:在找你最喜欢的电视节目的最新一集吗?想看足球比赛的直播吗? 在大多数情况下广告登陆页面把用户带到精心制作的假页面,在Flash播放器更新提示下安装恶意软件。 ? 在YouTube视频描述中发现了指向恶意软件下载的链接: ? 文章脚注中的Shlayer: ?
1.2K10发布于 2020-03-18 - 来自专栏鸿鹄实验室
使用yara防御恶意软件
yara简介 yara是一个基于规则的恶意样本分析工具,旨在帮助蓝队或安全研究员防御和分析恶意软件,其官网地址为https://virustotal.github.io/yara/。 你可以使用yara基于文本或二进制来标记恶意软件家族来达到各种目的。 yara的安装也是十分的简单,如win下已有独立文件,下载使用即可。 ?
1.2K20发布于 2021-03-31
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号