恶意样本分析手册——通讯篇

传统的恶意软件一般会采用基于 TCP/UDP 的自定义协议进行通 讯,在此基础上还有利用 HTTP/HTTPS,IRC,P2P 等其他应用层协议 来进行通讯的。一般来说在调试网络通信的过程中,无论恶意软件采 用何种协议均对我们所关注的内容无太多影响,只需要获取到对应的 网络通信数据即可,而且在调试方法上基本无差别,故我们将以调试 利用 TCP 通信的样本为例,讲述如何调试样本中的网络通信部分。对 于其他常见的应用层协议,我们将对其网络结构及相关的僵尸网络构 建方式和方法进行简单描述,便于读者理解。

阅读全文 “恶意样本分析手册——通讯篇” »

恶意样本分析手册——文件封装篇

加壳器属于一种封装工具,它可以对反病毒软件,复杂的恶意代码分析过程隐藏恶意代码的存在,另外,能缩小恶意代码可执行文件的大小,因此它们在恶意代码编写者中很受欢迎。大部分加壳器都是免费且易于使用的。基础静态分析技术对加壳后的程序毫无办法,要想进行静态分析,必须先将加壳的恶意代码脱壳,这就给恶意样本分析增加了很大的难度。 阅读全文 “恶意样本分析手册——文件封装篇” »

恶意样本分析手册——工具篇(上)

近几年来,随着互联网的普及,网络安全市场份额迅速增长,其开放性、应用市场的多元化等特点,都使得智能应用的开发领域极度繁荣。道高一尺魔高一丈,恶意软件也同样有了爆炸式的增长,直接威胁到个人隐私、支付安全等方面,无疑成为网络安全防护工作的重要目标。但海量恶意样本文件,给恶意软件研判分析工作带来了巨大的压力,如何进行恶意样本分析,如何提高效率,都成为实际的问题。 阅读全文 “恶意样本分析手册——工具篇(上)” »