本篇是样本分析手册的最终篇章,前面的几大篇章主要侧重于基础调试技巧和样本分析方法,而溯源篇是在掌握之前技能的基础上,进行能力进一步提升,可以说掌握了常规的溯源方法,才算是一名合格的恶意样本分析人员
恶意样本分析手册–特殊方法篇
windows服务是由三个组件构成的:服务应用,服务控制程序SCP,以及服务控制管理器SCM,当SCM启动一个服务进程时,该进程必须立即调用StartServiceCtrlDispatcher函数。StartServiceCtrlDispatcher函数接受一个入口点列表,每个入口点对应于该进程中的一个服务。
阅读全文 “恶意样本分析手册–特殊方法篇” »
【干货分享】恶意样本分析手册——常用方法篇
图解恶意样本分析的常用方法,你与安全专家的差距只有一篇文章!
【干货分享】应急响应案例分析与经验分享
网站首页图片被篡改;服务器被上传大量博彩文件,且rm -rf不能删除;服务器中了勒索病毒,文件被加密……
出现以上情况如何应急?别着急,绿盟科技一线交付工程师手把手教你应急响应,快快来学习吧!
恶意样本分析手册——API函数篇
文件类、网络类、注册表与服务类、进程线程类、注入类、驱动类、加密与解密、消息传递等各种类别API恶意样本分析。
乌克兰国家银行攻击样本技术分析与检测防护方案
2017年8月17日,乌克兰国家银行发布一则预警告知国内各金融机构警惕潜在的网络攻击事件。该攻击会通过Microsoft Word的邮件附件来利用CVE-2015-2545来远程执行代码。随后相关网络安全机构也发现了该攻击的记录并怀疑此攻击与一系列的针对东欧的攻击有关。
相关链接:
https://www.reuters.com/article/us-cyber-ukraine-banking-idUSKCN1AY0Y4
恶意样本分析手册——文件封装篇
加壳器属于一种封装工具,它可以对反病毒软件,复杂的恶意代码分析过程隐藏恶意代码的存在,另外,能缩小恶意代码可执行文件的大小,因此它们在恶意代码编写者中很受欢迎。大部分加壳器都是免费且易于使用的。基础静态分析技术对加壳后的程序毫无办法,要想进行静态分析,必须先将加壳的恶意代码脱壳,这就给恶意样本分析增加了很大的难度。 阅读全文 “恶意样本分析手册——文件封装篇” »