- 综合排序
- 最热优先
- 最新优先
- 来自专栏linux运维
恶意软件感染:系统被恶意软件感染
断开网络连接首先,断开受感染系统的网络连接,以防止恶意软件进一步传播或与外部通信。 使用杀毒软件进行扫描使用专业的杀毒软件对系统进行全面扫描,检测并清除恶意软件。ClamAV:ClamAV 是一个开源的杀毒软件,适用于 Linux 系统。 检查系统日志查看系统日志,寻找恶意活动的迹象。 检查启动项和服务检查系统启动项和服务,确保没有恶意程序在系统启动时运行。 恢复系统如果恶意软件已经造成了严重损害,可能需要恢复系统。备份重要数据:在恢复系统之前,确保备份所有重要数据。
51900编辑于 2025-02-06 - 来自专栏进步集
恶意软件分析
⭐️前言 恶意软件,改你的注册表,搞你的启动项。 让他的软件自动运行,我们如何避免? 我们要用process monitor分析一下! 跟上爆哥的节奏! 看看这个间谍软件做了什么 真的可怕。他会改你的注册表,把自己加到启动菜单 !!!!!!!!!! (两种状态之间)切换 网络 开关;触发器;肘节 运行到此处段下来 然后我们按f7就是单步跳入,按f8单步跳出 什么意思呢? 需要进入就跳入函数 不需要就f8跳出掠过 执行到这一步我们看寄存器的变化、 全部暴露了,他在搞事情!!! 他在搞启动项!!! 我们看他的栈、寄存器!!! 其次了,windbg也很棒,用来看内核程序,分析rootkit这样的内核恶意程序离不开他!
1K30编辑于 2023-04-12 - 来自专栏网络安全技术点滴分享
MoP恶意软件仿真框架,模拟测试各种恶意软件
系统概述 MoP(Master of Puppets)是一个高级恶意软件追踪框架,旨在模拟和控制远程访问工具(RAT)的行为。 该系统通过插件化的方式支持多种RAT,并提供了丰富的功能来模拟恶意软件的行为,包括文件系统操作、网络连接、进程管理等。 MoP的核心目标是帮助安全研究人员分析和追踪恶意软件的行为,尤其是在沙箱环境中进行动态分析。 :安全研究人员可以使用MoP来模拟恶意软件的行为,分析其网络通信、文件操作、进程管理等行为。 MoP适用于恶意软件分析、沙箱环境测试和安全工具开发等多种场景。 github链接地址:https://github.com/intezer/MoP.git
39700编辑于 2025-06-16 - 来自专栏betasec
恶意样本 | 常用恶意软件分析平台
声明:本人坚决反对利用文章内容进行恶意攻击行为,一切错误行为必将受到惩罚,绿色网络需要靠我们共同维护,推荐大家在了解技术原理的前提下,更好的维护个人信息安全、企业安全、国家安全。 0x01 前言 做为一名网络安全爱好者在日常工作中难免会用到一些恶意软件检测平台,用来分析一些木马样本,例如:钓鱼邮件的恶意样本分析,分析网上下载的工具是否存在木马后门,自己编写了免杀工具查看其免杀效果等 接下来,小编通过网上搜集了一些恶意软件检测的在线平台,总结如下: 0x02 恶意软件检测分析平台 VirSCAN: https://www.virscan.org VirusTotal: https:/
3.4K30编辑于 2022-12-11 - 来自专栏FreeBuf
Adwind家族恶意软件
该站提供每月订阅,并且能够直接购买软件,如图7所示。一些研究人员认为这是一种“恶意软件即服务”(maas)模式。 ? Alien Spy Alienspy[.]Net于2014年6月7日注册。 也可能是为了避免声誉问题——关于Adwind家族的投诉在论坛上很常见: 该网站展示了一份客户推荐信,它掩盖了将该软件用作合法管理工具的说法,如下图8所示。 ? 恶意软件运营商使用一种称为“crypting”的技术来避免基于签名的防病毒检测。该技术将修改恶意软件二进制文件,使其具有新的、唯一的哈希值,而不改变其功能。 █████ M█████ City: C███████ State: T██████ Country: Mexico 攻击仍在持续 自2012年起,Adwind Rat家族的销售已经导致了数以万计的恶意软件样本在野外和数以百万计的恶意软件攻击 在过去的八年里,Adwind Andres一直试图隐藏自己作为这个恶意软件的作者的身份,但没有成功。时至今日,他仍在继续开发这一软件,并从出售软件中获利。
1.3K00发布于 2019-10-10 - 来自专栏FreeBuf
Aveo恶意软件分析
Aveo 恶意软件家族与 ForrmerFirstRAT 恶意软件家族有密切的联系,二者都针对日语用户。Aveo 会伪装成 Microsoft Excel 文档,并在执行时抛出诱饵文件。 Aveo 恶意软件家族 Aveo 恶意软件会在开始运行一个安装程序,该程序会复制自身到以下位置:%APPDATA%\MMC\MMC.exe如果因为某种原因,%APPDATA%\MMC 目录不能被创建,Aveo 恶意软件自身复制完成后,将会在新的进程中以原文件名为参数执行 MMC.exe。当执行时,如果提供了这单个参数,恶意软件将会删除掉制定路径内的文件。 Aveo 对注册表进行以下设置,以指向恶意软件的路径,从而保证重新启动后恶意软件仍然可以持久工作:HKCU\software\microsoft\windows\currentversion\run\msnetbridge 正如前面讨论的 FormerFirstRAT 样本,这个恶意软件家族看起来也是针对日语用户。使用自解压文件的 WinRAR 释放诱饵文档和 Aveo 的恶意软件副本以及清理脚本。
1.2K60发布于 2018-02-09 - 来自专栏北京马哥教育
Linux恶意软件简史
——那些年困扰Linux的蠕虫、病毒和木马 虽然针对Linux的恶意软件并不像针对Windows乃至OS X那样普遍,但是近些年来,Linux面临的安全威胁却变得越来越多、越来越严重。 但早在2000年之前,Linux恶意软件就以某种形式出现在我们周围了。让我们一起来回顾一下吧。 Staog(1996) 首个公认的Linux恶意软件是Staog,一种试图将自身依附于运行中的可执行文件并获得root访问权限的基本病毒。 Windigo造成服务器生成垃圾邮件、中转恶意软件并重定向链接。根据ESET安全公司,Windigo的威胁依然存在,系统管理员们万不可麻痹大意。 特拉史诗间谍软件(2014) 研究人员本周早些时候发现了一场来自俄罗斯的大型网络间谍软件活动,使用的特拉史诗(Epic Turla)间谍软件是一款基于早在2000年就出现的名为cd00r的全方位后门访问程序
2.8K70发布于 2018-05-03 - 来自专栏韩曙亮的移动开发专栏
【Android 插件化】恶意软件判定规则 | 恶意软件的范围定义
文章目录 一、恶意软件判定规则 二、恶意软件的范围定义 一、恶意软件判定规则 ---- 在 【Android 插件化】基于插件化的恶意软件的加载策略分析 ( 自定义路径加载插件 | 系统路径加载插件 | App-Virtualization’s Clothing 中给出了判定 插件化软件 是否是恶意软件的标准 ; Google 官方明确反对 静默加载插件 和 隐藏应用操作 , 上述两个操作都会被认定为恶意操作 , 2 个条件 , 那么该插件化应用会被标记为可疑应用 , 可能是恶意软件 , 也可能是用户选择不创建 Launcher 应用启动图标 ; 二、恶意软件的范围定义 ---- 这个判定规则个人感觉有点严格 , 只要是违反了 Google 的安全政策 , 都可以被判定为恶意软件 , 并不是只有作出恶意行为的 APK 会被判定为恶意软件 ; 假如插件中作出了恶意行为 , 如盗取用户数据 , 拦截电话 等操作 ; 插件安装前经过用户同意了 , 则不会被判定为恶意软件 ; VAHunt 准确的说是检测使用了 插件化引擎 的软件中 , 那些不经过用户同意 , 就私自安装插件的软件 , 仅仅是检测这一类的软件 ;
93210编辑于 2023-03-29 - 来自专栏安恒信息
新型恶意勒索软件VirLock
近日,研究人员发现勒索软件家族又添新成员,一个可自我复制的版本VirLock(又称VirRansom)。 VirLock的攻击范围很大,多种类型的文件都受到影响,如文档、图片、音频、视频、压缩文件。 VirLock与以往的勒索软件不一样,它不仅会对文件进行加密,同时还会使用让计算机“锁屏”的恶劣手段。 当屏幕处于锁屏状态时,VirLock会终止exploer.exe的进程以进行恶意操作。 与其他勒索软件一样,一旦感染了这种恶意程序,攻击者就会以侵犯著作权为由向受害者索要0.652个比特币(大约216美元)。
79240发布于 2018-04-11 - 来自专栏信安之路
macOS 恶意软件分析过程
植入 shell、恶意软件、留持久化的后门。 ,如有不适之处,请斧正:) ---- 来自卡巴斯基实验室的恶意软件研究人员发现了一种名为 Calisto 的恶意软件,它似乎是 Proton macOS 恶意软件的前身。 该恶意软件早在 2016 年就被上传到 VirusTotal,很可能是在创建它的同一年。 为了便于说明,我们将恶意软件文件与从官方网站下载的 Mac Internet Security X9 版本进行比较。 ? ? 它看起来相当有诱惑力。 将自己添加到启动是 macOS 的一种经典技术,可以通过在 /Library/LaunchAgents/folder 中创建一个带有恶意软件链接的 .plist 文件来完成: ? ?
2.3K00发布于 2018-08-08 - 来自专栏FreeBuf
第一起 | 国内恶意软件用伪基站传播Android恶意软件
根据外媒报道称,中国的恶意软件开发者正在使用伪基站(BTS)发送包含Android恶意软件链接的恶意短信。 这是恶意软件开发者使用基站传播恶意软件的第一起案例,也是Avast 2014年发布的趋势预测中的一种可能,只是直至目前才得以实现。 来自腾讯安全的研究人员发现,这种恶意软件只在中国活跃。 Swearing组织部署其恶意软件的方式与其他任何Android恶意软件相比都是独一无二而又见所未见的。 就像HummingBad恶意软件一样,利用Swearing恶意软件的攻击活动预计也将传播至全球其他国家,尤其是使用BTS设备来诱骗用户安装恶意软件的有效载荷将进一步推动这种蔓延趋势。 2016年8月,移动安全公司Zimperium发表了研究报告强调称,许多移动电信提供商使用BTS设备中的大量漏洞。
1.3K100发布于 2018-02-23 - 来自专栏FreeBuf
恶意软件狩猎新途径:使用.NET元数据分析跟踪恶意软件
深入分析之后,我还专门为该样本编写了Yara检测规则,当时我便意识到,我是不是也可以写一些Yara规则来识别.NET开发的恶意软件或.NET程序集。 在这篇文章中,我将跟大家分享如何使用.NET元数据分析、跟踪和分类恶意软件的相关内容。 会在创建一个新项目时生成; MVID:模块版本ID,.NET模块的唯一识别符; TYPELIB:TYBELIB版本,或类型库编号; 这些特定的识别符可以使用strings命令下列正则表达式来解析: [a-fA-F0-9]{8} 下面给出的是我遇到的一个恶意软件集群活动示例: 这里涉及到大量的样本集(1300个),主要针对的是SteamStealer。 ,简而言之,就是通过可靠的方法提取两个唯一GUID(Typelib和MVID)来识别恶意软件。
56210编辑于 2024-04-25 - 来自专栏FreeBuf
探索编译的V8 JavaScript在恶意软件中的应用
借助View8,研究人员成功反编译了数千个恶意编译的V8应用程序,涵盖各种恶意软件类型,如远程访问工具(RAT),窃取程序,挖矿程序甚至勒索软件。 威胁行为者似乎非常清楚这一点,因为研究已经发现恶意软件开发者也在强调使用V8代码的某些恶意软件家族的检测率很低: 【图4:恶意软件开发者在打包和编译时强调VirusTotal的低检测率】 此外,CPR还确定了许多开源 JavaScript恶意软件的实例,如TurkoRat、Vare-Stealer和Mirai stealer,这些恶意软件在发布之前被攻击者编译成V8字节码。 V8在野应用 使用View8,研究人员开始利用编译后的V8系统地反编译恶意软件样本,并成功迭代了数千个样本,其中一些在过去的研究中讨论过。 通过将V8恶意软件翻译成一种更容易理解和分析的伪JavaScript形式,研究人员能够更容易地研究V8恶意软件。希望随着这个工具的可用,它将帮助其他人发现和阻止V8恶意软件。
96010编辑于 2024-07-22 - 来自专栏FreeBuf
Glupteba恶意软件变种分析
最近发现了恶意软件glupteba的网络攻击行为。它是一个旧的恶意软件,曾在名为“windigo”的行动中出现过,并通过漏洞传播给windows用户。 在研究了近期发现的glupteba变体之后,我们发现glupteba恶意软件之外的两个未经记录的组件: 1、浏览器窃取程序,它可以从浏览器中窃取敏感数据,例如浏览历史记录、网站cookies、帐户名和密码 攻击者仍在改进他们的恶意软件,并试图将他们的代理网络扩展到物联网设备。 ? ? Glupteba下载分析 下载的二进制文件由一个自定义打包程序打包,用go编程语言编写,并编译为可执行文件。 C&C更新能力 后门有大部分标准功能,该恶意软件可以通过discoverdomain功能通过区块链更新其c&c服务器地址。 discoverdomain函数可以通过发送后门命令运行,也可以由自动运行。 安全建议 恶意软件是一种广泛存在的威胁,会影响用户和企业。从网关、端点、网络和服务器,多层的安全方法非常重要。
1.4K30发布于 2019-10-15 - 来自专栏FreeBuf
Black Kingdom恶意软件分析
在2019年发现了针对Microsoft Exchange Server 漏洞的勒索软件Black Kingdom ,该恶意软件由python编码。 今年再次发现其恶意活动,该勒索软件利用 Microsoft Exchange 漏洞 (CVE-2021-27065)进行传播。 恶意软件会生成一个 64 个字符的伪随机字符串,然后获取字符串的 MD5 哈希值并将其用作 AES-256 加密的密钥。 如果没有任何参数传入,恶意软件将会枚举系统文件,然后多进程对文件进行加密。 ? Black Kingdom 还会枚举各种驱动器号并对其进行加密,并在每个加密目录留下勒索信息。 ? a387c3c5776ee1b61018eeb3408fa7fa7490915146078d65b95621315e8b4287 815d7f9d732c4d1a70cec05433b8d4de75cba1ca9caabbbe4b8cde3f176cc670
76830发布于 2021-07-27 - 来自专栏FreeBuf
MacOS恶意软件Shlayer分析
近两年来,Shlayer木马一直是MacOS平台上最常见的恶意软件,十分之一的MacOS用户受到它的攻击,占该操作系统检测到攻击行为的30%。 技术细节 从技术角度来看,Shlaye是一个相当普通的恶意软件。在所有变体中,只有最新的木马下载程序OSX.Shlayer.e与众不同。此恶意软件的变体是用Python编写的,其算法也有不同。 首先,它在Safari中安装一个恶意扩展,将操作系统安全通知隐藏在恶意软件伪造窗口后。单击通知中的按钮,用户就会同意安装扩展。 ? 软件传播 恶意软件传播是其生命周期的重要组成部分,Shlayer为了解决这个问题制定了很多方案:在找你最喜欢的电视节目的最新一集吗?想看足球比赛的直播吗? 在大多数情况下广告登陆页面把用户带到精心制作的假页面,在Flash播放器更新提示下安装恶意软件。 ? 在YouTube视频描述中发现了指向恶意软件下载的链接: ? 文章脚注中的Shlayer: ?
1.2K10发布于 2020-03-18 - 来自专栏鸿鹄实验室
使用yara防御恶意软件
yara简介 yara是一个基于规则的恶意样本分析工具,旨在帮助蓝队或安全研究员防御和分析恶意软件,其官网地址为https://virustotal.github.io/yara/。 你可以使用yara基于文本或二进制来标记恶意软件家族来达到各种目的。 yara的安装也是十分的简单,如win下已有独立文件,下载使用即可。 ? D8 A? FB} condition: $hex1 } 则它可以匹配以下字符串: EF 44 01 D8AA FB ? A2 FB} $hex2 = { EF 44 [4-6] D8 A2 FB} condition: 那么你可以使用以下任何一个方式: int8(<offset or virtual address>) int16(<offset or virtual address>) int32(<offset
1.2K20发布于 2021-03-31 - 来自专栏FreeBuf
QBot恶意软件深度解析
它最初被称为金融恶意软件,旨在窃取用户凭据和键盘记录来对政府和企业进行金融欺诈。近期在野捕获的Office Word文档中发现QBot变体,但未发现其传播方式。 QBot文档 Word文档中包含一个恶意宏,打开文件后将要求受害者单击黄色按钮,如图1.1(左侧)所示。右侧的图像显示了单击“启用内容”按钮后的内容, 它让受害者误以为文档正在努加载数据。 ? 实际情况是恶意宏(VBA代码)在后台执行,并调用Document_Open函数,在“C:\Users\Public\”中创建“tmpdir”文件夹。然后将QBot有效负载下载到此文件夹中。 总结 本报告第一部分中详细说明了Office Word文档如何通过恶意宏下载QBot变体,以及它如何使用复杂的技术隐藏和保护自己。 432B6D767539FD5065593B160128AA7DCE271799AD2088A82A16542E37AD92B0 [file1.exe or 888888.png] D3B38681DBC87049022A3F33C9888D53713E144A277A7B825CF8D9628B9CA898
2.9K30发布于 2020-07-15 - 来自专栏FreeBuf
又现新型恶意软件:针对意大利用户的Android恶意软件Oscorp
跟其他的Android恶意软件一样,Oscorp恶意软件会想办法欺骗用户授予恶意软件访问Android设备辅助功能服务的权限。 Com”的域名,这个域名主要负责托管恶意软件的“Client assistance.apk”文件。 恶意软件Oscorp的代码每八秒便会重新打开一次设置界面,并强制用户授予恶意软件所请求的访问权限以及设备使用统计信息。 启用辅助功能服务之后,恶意软件将能够实现下列操作: 启用键盘记录功能; 自动获取恶意软件所需的权限和功能; 卸载应用程序; 拨打电话; 发送短信; 窃取加密货币; 窃取Google的双因素PIN码; 在研究人员对这款恶意软件样本进行分析时 ,恶意软件所使用的钱包里面只剩了584美元。
67330发布于 2021-02-08 - 来自专栏FreeBuf
新型Anatova恶意软件分析
Anatova概述 Anatova一般会使用游戏或者常见应用的图标来欺骗用户下载恶意软件,然后请求获取管理员权限: ? Anatova勒索软件是一款64位应用程序,编译日期为2019年1月1日。 恶意软件首先会获取“kernel32.dll”来作为模块处理库,并使用函数“GetProcAddress”来从处理库中获取29个功能函数。 ? 如果恶意软件无法获取kernel32模块处理库,而且也无法获取其他的功能函数,它将会退出执行。 接下来,恶意软件会尝试使用硬编码名称(6a8c9937zFIwHPZ309UZMZYVnwScPB2pR2MEx5SY7B1xgbruoO)来创建原语,但不同样本中的原语名称也不同。 如果出现这样的情况,恶意软件会清空内存,我们之后会详细介绍这部分。 ?
64220发布于 2019-05-09
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号