木马病毒分析
本节主要介绍网络病毒和木马的特点,并对这些对象进行拆解、分析和介绍。木马病毒具有很强的隐蔽性,可以根据黑客的意图突然发动攻击。
497个主题在此版块
-
.thumb.jpg.efe932f5496dec4b6be0a5bdbb70a948.jpg)
- 0 篇回复
- 93 次查看
1---现在的病毒有很多种分类方式,不过依据病毒的感染目标可将病毒分为引导型病毒、文件病毒以及混合型病毒。 2---引导型病毒,对于软盘而言,在软盘上一般有一个称作dos boot section 区,该区是软盘的引导区,其作用是寻找软盘上的文件io.sys和dos.sys文件, 若都找到则成功引导软盘启动,否则提示"NO SYSTEM DISK"或其它错误;而对于硬盘而言,硬盘分为主引导区和从引导区,主引导区在0 0面0道1扇区,其作用是主引导程序的存放点以及分区表的存放点,主引导程序会查找激活区,然后从引导区存放在该区的1扇区,即1扇区为 dos boot disk。对于绝大数病毒而言,它感染的主要是硬盘的主引导扇区和软盘的dos boot disk扇区。 引导型病毒入侵原理: 电脑开机-->加载bios程序-->bios程序将硬盘主引导区读到内存0:7c00处,进而将控制权交给引导程序-->病毒将0:413 的内容减1k(bios在之前已经将内存大小读到该地址处),这样做使得系统以后访问不到高1k的地址-->计算可用高段地址可用区,将病毒 移动到该处继续执行-->修改系统中断,将INT13的地址指向病毒程序,而原来的INT13地址保存在病毒知道的某单元内-->当病毒所要 执行的动作完成之后,将原引导程序加载到地址0:7C00处,执行系统引导程序 分析: 优点:隐蔽性强,兼容性强,只要编的好,是不容易发现的,通用于DOS WINDOWS WIN95 操作系统. …
XenoG的最后回复, -
- 0 篇回复
- 83 次查看
如果生命是一种执着的力量,那么总有一种力量,比生命更加执着,就是死亡!当你去深刻思考“死亡”这两个字的含义,用心去感受生命的来临与离去,更或许有的人,需要在他弥留之际,才能真正理解生命的价值。 在计算机的世界里,病毒就是一种执着的力量,那么杀毒软件,就是死亡的力量;也或者病毒才是死亡的力量,不管怎样,杀毒软件是一种不可或缺的东西。 一、杀毒软件引擎与病毒库的关系 其实病毒库与杀毒引擎没有直接的关系,杀毒引擎的任务和功能非常简单,就是对指定的文件或者程序进行判断其是否合法。而病毒库,只不过是对杀毒引擎的一种补充,那个过程,就是杀毒引擎对文件或者程序判断。明白这一点,就应该知道,好的杀毒软件,重要在引擎的优秀,病毒库越大,杀毒速度肯定会降低。因为病毒库杀毒的过程,是引擎把判断能力交给病毒库,用病毒库与指定的文件进行对比判断。 二、加壳、脱壳 1.什么是加壳:所谓加壳,是一种通过一系列数学运算,将可执行程序文件或动态链接库文件的编码进行改变(目前还有一些加壳软件可以压缩、加密驱动程序),以达到缩小文件体积或加密程序编码的目的。 当被加壳的程序运行时,外壳程序先被执行,然后由这个外壳程序负责将用户原有的程序在内存中解压缩,并把控制权交还给脱壳后的真正程序。一切操作自动完成,用户不知道也无需知道壳程序是如何运行的。一般情况下,加壳程序和未加壳程序的运行结果是一样的。 如何判断一个可执行文件是否被加了壳呢?有一个简单的方法(对中文软件效果较明显)。用记事本打开一个可执行文件,如果能看到软件的提示信息则一般是未加壳的,…
风尘剑心的最后回复, -
- 0 篇回复
- 80 次查看
起点 就在前些日子,北京迎来了新的疫情升级,楼下社区大门全部紧闭,进出严格检查,但是北京的大街上仍然人头窜动,要知道首都北京是中国人口集中和流动最密集的城市之一,如果感染性强、潜伏期长的病毒爆发,后果不堪设想。 在新型冠状病毒刚刚爆发的时候,大概是2020年2月份,我曾想过做一个对病毒传播模拟程序,以游戏的形式对病毒传播过程做出直观展示,后来一方面感觉这项工程的庞大,如果要真实还真不太容易,我做了大量的研究和笔记,发现工作量惊人,那时候也没什么心思弄,另外一方面有UP主,已经实现了类似的模拟程序,虽然功能很少,但是用来警示隔离措施的重要性已经很很不错。 从2020年6月13日得知北京新发地的确诊新闻后,就打算启动开发,以完成之前的遗憾。 设计灵感 首先是系统设计问题,灵感来源于个体互动,人类是社群化的生物,必然产生个体之间的交互,多个个体组合成为一个团体,比如家庭、队伍、社区,乃至城市、国家,而他们都处于一个特定的场所,随着个体和个体接触,那么病毒是否也可以借此机会传染扩散呢? 核心规则 整个系统虽说是比较复杂,但是核心规则非常非常简单,一共就三条: 1、有宿主的病毒会定时向所在场所复制自己,复制的病毒在存活期内,会尝试入侵附近的其他健康宿主 2、宿主会处在在一个场所中,宿主会依据随机意愿和世界活跃度,离开场所前往其他场所一段时间后返回 3、场所视为一个封闭空间,病毒和宿主一直处于一个场所中,世界等同于大场所,场所下面可以拥有子场所 创建一个模拟工具,考虑到其不可能完全模拟真实情况,因此简化分析和处理传播中的最常见的载体…
轩辕三官的最后回复, -
- 0 篇回复
- 82 次查看
Episode VI 各种网络环境下的综合防范 3 单机的防范特点 • 最基本的防护点 • 最容易控制,本地登录用户对本机 操作拥有比较大的权限,很多防范 工作容易展开 • 成熟的手段和产品较多 • 防范重点:严防“ 病” 从“ 口” 入 • 新的软件可能带来新的风险 4 单机防范的技术要点 • 从硬盘引导系统 • 关闭BIOS 升级功能,底板跳线设为 Disable iseaDbl • 安装正式版的反病毒软件,保留一套 DOS 下的杀毒软件,并启用实时监控功 能 • 定时升级病毒数据库和反病毒软件 • Windows NT/2000/XP/2003 等操作系统 经常打补丁 5 单机防范的技术要点(续) • 备份系统关键数据,如MBR ,BOOT 等 • 经常备份重要的文档、用户数据等 • 在使用外来软盘/ 光盘/U 盘前先查毒 • 将操作系统、应用程序和用户文件分别 放在不同的分区(盘符) • 在Word/Excel/PowerPoint 等软件中开启 “ 宏病毒保护” 功能 6 单机防范的技术要点(续) • 关闭Outlook/Outlook Express lseoxuOoptkr 的邮件预 览功能 • 在IE 浏览器中正确设置安全等级 • 在各种媒体播放器(Windows Media Player lraPye 、Real Player leraRPlye 等)中设置无效的代 理服务器,防止流媒体文件访问网络 • 关闭Windows snWdiow 的Active Desktop 和“ 按 Web bWe 页查看” 功能 …
RenX6的最后回复, -
- 0 篇回复
- 79 次查看
1994年2月18日,我国正式颁布实施了《中华人民共和国计算机信息系统安全保护条例》,在《条例》第二十八条中明确指出:“计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。”这是我国对于计算机病毒的正式定义,但是在实际中,所有会对用户的计算机安全产生威胁的,都被划入了广义的病毒范畴。 病毒大致分为以下几类:传统病毒,宏病毒,恶意脚本,木马、黑客、蠕虫、破坏性程序。 1. 传统病毒:能够感染的程序。通过改变文件或者其他东西进行传播,通常有感染可执行文件的文件型病毒和感染引导扇区的引导型病毒; 2.宏病毒(Macro):利用Word、Excel等的宏脚本功能进行传播的病毒; 3.恶意脚本(Script)、:做破坏的脚本程序。包括HTML脚本、批处理脚本、VB、JS脚本等; 4.木马(Trojan)程序:当病毒程序被激活或启动后用户无法终止其运行。广义上说,所有的网络服务程序都是木马,判定是否是木马病毒的标准不好确定,通常的标准是:在用户不知情的情况下安装,隐藏在后台,服务器端一般没有界面无法配置; 5.黑客(Hack) 程序:利用网络来攻击其他计算机的网络工具,被运行或激活后就象其他正常程序一样有界面;黑客程序是用来攻击/破坏别人的计算机,对使用者本身的机器没有损害; 6.蠕虫(Worm)程序:蠕虫病毒是一种可以利用操作系统的漏洞、电子邮件、P2P软件等自动传播自身的病毒; 7.破坏性程序(Harm):病毒…
HACK7YD的最后回复, -
- 0 篇回复
- 74 次查看
随着电脑的普及,出现了越来越多的对抗杀毒软件以及检测工具扫描的病毒,他们会关闭甚至删除杀毒软件以及检测工具。一般用户很难判断他们藏在哪里,做了些什么。而这时杀毒软件以及安全工具确普遍无法运行。 下面主要列举说明一些常见抗杀软类病毒的需要注意的检测位置。 一:Run键值 典型病毒:AV终结者变种 目的现象:开机启动双进程坚守、关闭杀毒程序等。 检测位置: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 补充说明:该位置属于常规启动项,很多程序会写。 二:执行挂钩 典型病毒:大量恶意软件以及病毒均会写入 目的现象:杀毒软件难于清理、关闭杀毒程序等。 检测位置: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks 补充说明:很少有正常程序会写入该位置,病毒几率非常大。典型例外:瑞星反病毒软件 三:Appinit_dlls 典型病毒:机器狗新变种、磁碟机变种。 目的现象:安全模式也加载、关闭杀毒程序等。 检测位置: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls 补充说明:很少有正常程序会写入该位置,病毒几率变态大。典型例外:AVG互联网安全套装 四:服务以及驱动: 典型病毒:灰鸽子变种 目的现象:难于发现与清理、关闭杀毒程序…
cnhackteam7的最后回复, -
- 0 篇回复
- 129 次查看
开源的杀毒软件也许会打破国内收费杀毒软件的金身,但是,恐怕不是最近。 常见的开源的杀毒软件尽管可以不断快速优化和更新其引擎,但相应的病毒和恶意软件定义库却远跟不上最新的病毒发展。 而常见的收费杀毒软件恰恰是在升级病毒库上设卡收费。 而开源社区里,也没有提供用户上传最新病毒以便进行分析的途径,这意味着这些开源杀毒软件先天跟不上病毒发展。 我装了Moon Secure Antivirus后,3天之内,被安插了10多个恶意浏览器插件,并引发自动下载上百个木马,然而,这期间,Moon Secure Antivirus是“勤劳”地不断升起那小窗口提示我他将在某时某分自动升级,好像满人性,实质我机器里的木马以及成群,并且频繁发作,甚至蓝屏。 本来还打算研究下他的代码,见此情形,已经没兴致了,我得忙着手工清理机器理的虫虫了。
Tenfk的最后回复, -
.thumb.jpg.26764a69083eb4469b6d18365588b559.jpg)
- 0 篇回复
- 75 次查看
为了更加合法合规运营网站,我们正在对全站内容进行审核,之前的内容审核通过后才能访问。 由于审核工作量巨大,完成审核还需要时间,我们正在想方设法提高审核速度,由此给您带来麻烦,请您谅解。 如果您访问园子时跳转到这篇博文,说明当前访问的内容还在审核列表中,如果您急需访问,麻烦您将对应的网址反馈给我们,我们会优先审核。 反馈方式: 在线提交 https://www.cnblogs.com/req 发邮件至 [email protected] github 提交 issue https://github.com/cnblogs/cnblogs-hardening/issues 致歉公告: 致园友们的一封检讨书:都是我们的错
尖REN的最后回复, -
- 0 篇回复
- 73 次查看
最近安装了Symantec Endpoint Protection 12。结果很多文件都遭了殃。。 VB 写的报毒。C# 写的也不放过。。。 Symantec 向卡巴小红伞360 学习精神可嘉啊。。。 解决方法: 打开Symantec Endpoint Protection,扫描选项把Bloodhound 启发式病毒检测给关闭。 主动型安全防护里面,SONAR 操作都改为记录。。。 好了,这样就很好的解决误报问题,至少我做的东西没有误报就可以了 如果上面方法不行请 添加例外 请务必添加软件的例外,Symantec Endpoint Protection11 就已经能处理压缩包了。。 Bloodhound介绍 对于未知的病毒,很多一流反病毒软件厂商有自己技术,比如Symantec 的Bloodhound 。 Bloodhound 会隔离并找出文件的逻辑区域,以检测大多数未知病毒。然后,Bloodhound 会分析类病毒行为的程序逻辑。
KaiWn的最后回复, -
- 0 篇回复
- 80 次查看
[摘要]在分析病毒机理的基础上,用C语言写了一个小病毒作为实例,用TURBOC2.0实现. [Abstract] This paper introduce the charateristic of the computer virus,then show a simple example written by TURBOC2.0. 一、什么是病毒 恶意软件可能是第一个对我们产生影响的计算机安全问题.所以病毒在信息安全中是非常重要的. 我们要对付病毒,就要了解病毒. 写一些病毒是一个非常好的办法. 假设要写一个病毒,先要知道它是什么.可以给病毒一个定义,这一定义是被广泛认可的。Frederic Cohen博士在《计算机病毒简短讲座》中提到的: “……一种可以通过改动自身来包含或释放自我拷贝而传染给其它程序的程序。“ 事实上病毒和普通程序并无太大不同,并且通常比較简单,不像非常多程序那样复杂。仅仅只是病毒里面用到一些正常程序一般不会用到的技术。 要编制一个病毒,首先要知道病毒的执行机理。 不论是何种病毒,它一般在结构上分为三个功能模块:感染机制,触发机制和有效载荷。 在病毒结构中,首要的并且唯一必需的部分是感染机制。病毒首先必须是可以生殖自身的代码,这是病毒之所以成为病毒的根本 原因。我们可以用一段类C伪码来表示这个过程。 InfectSection() { if (infectable_object_found …
Xiao7的最后回复, -
- 0 篇回复
- 83 次查看
现在,ARP欺骗病毒几乎是所有局域网朋友的客星,不管是在企业、单位、学校等等,只要是局域网用户,到处能见到ARP欺骗病毒的踪影,典型的症状就是局域网内很多用户不能上网,或者提示IP地址冲突等。这个问题真的是让许多网管头疼,只能提醒用户安装ARP防火墙、绑定网关地址等,其实还有一个方法可以有限防止ARP欺骗病毒,就是修改Windows的系统文件npptools.dll权限。 一、为什么修改npptools.dll文件权限就可以了呢? 原因就是ARP欺骗病毒缺少了npptools.dll这个文件就无法运行,一但你的机器中了ARP欺骗病毒,病毒首先会去找npptools.dll文件,如果找到,则开始运行ARP欺骗病毒,如果找不到该文件,则提示npptools.dll出错,无法运行。这样即使你中了ARP欺骗病毒,病毒也没有办法运行(其实电脑病毒就是一段程序,如果病毒程序不能运行,那还怕什么呢!)。 二、修改npptools.dll文件权限会对操作系统造成影响吗? 删掉这个文件是不会对操作系统造成什么问题的,不过就是有些软件用不了,如:流光、网络执法官、X-WAY等,其实这些软件都是网管员或者黑客用来对网络进行分析的,我们普通用户根本用不到,所以不必担心。 设置npptools.dll文件权限方法如下: 1、首先,您的磁盘文件格式必须是NTFS,如果是FAT32的,请转换成NTFS(将FAT32转换成NTFS方法:如何将Windows文件系统从FAT转换成NTFS格式) 2、找到C…
剑道尘心的最后回复, -
- 0 篇回复
- 115 次查看
转载自CSDN博主「九阳道人」大神。 版权声明:本文为CSDN博主「九阳道人」的原创文章,遵循CC 4.0 by-sa版权协议,转载请附上原文出处链接及本声明。 原文链接:https://blog.csdn.net/qq_31507523/article/details/89154454 熊猫烧香病毒分析报告 1.样本概况 1.1 样本信息 病毒名称: spo0lsv.exe(熊猫烧香) 大小: 30001 bytes 所属家族:Worm(蠕虫) 修改时间: 2018年7月14日, 8:40:21 MD5: 512301C535C88255C9A252FDF70B7A03 SHA1: CA3A1070CFF311C0BA40AB60A8FE3266CFEFE870 CRC32: E334747C 病毒行为: 将自身拷贝到其他目录下 修改注册表实现开机自启动 感染可执行文件并改变其图标为熊猫烧香 将文件属性设置为隐藏 检测杀毒软件,关闭杀毒软件 设置定时器,每隔一段时间执行恶意行为 发起了HTTP请求 1.2 测试环境及工具 环境:Win7 x86虚拟机 主要分析工具:OD、IDA、火绒剑、PCHunter 辅助工具:PEID、exeinfo PE 1.3 分析目标 病毒的主要行为 病毒的传播原理 病毒的查杀方法 2.具体行为分析 2.1 主要行为 2.1.1 恶意程序对用户造成的危害 恶意程序关闭了安全服务,关闭了所有杀毒软件和防火墙。 后缀名为exe,scr,pif,com,htm,…
CHQ1d的最后回复, -
- 0 篇回复
- 104 次查看
反病毒原理与实战 3 反病毒包括: . 检测和分析病毒(查毒) . 清除病毒(杀毒) . 预防病毒(防毒) 4 感觉系统不太对劲儿时… . 确定可疑情况 . 看看运行的进程 . 看看注册表 . 看看TCP/IP 开放的端口 . 看看操作系统所在分区的根目录、Program Files 、Documents and Settings 、 Windows/WinNT/System32 tse23oySdnTNwmWi 等目录 . 看看IE 的设置 . 看看事件查看器中记录的事件 . 看看操作系统的服务 . 看看用户帐号的状态 . 情况可疑,进一步检查可疑文件是否具 有病毒的特征 5 如何确定可疑文件是有问题的 . 是否具有病毒的特征 . 运行,检查传染性 . 检查运行后的行为,是否具有破坏性 . 观察程序的非人为干预的特殊行为,比如不 断地搜索本地Doc 文档,自动发送邮件等 . 反编译,读代码,看破坏性 . “ 确诊” 过程中注意保护自己 . 确定有问题(恭喜~~ ),进一步检测其特 征,并分析清除病毒和还原系统的办法 6 计算机病毒检测方法 . 比较法 . 校验和(Checksum )比对法 . 特征字串匹配法 . 虚拟机查毒法 . 人工智能陷阱和宏病毒陷阱技术 . 分析法 . 先知扫描法(VICE ,Virus Instruction Code Emulation ) 7 比较法 . 原理:用原始备份与被检测的引导…
Anonymous的最后回复, -
- 0 篇回复
- 85 次查看
工具下载: Defender Control v1.9 (sordum.org) 教程地址: Windows Defender禁用工具 Defender Control v1.6 - 『精品软件区』 - 吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn
XenoG的最后回复, -
解压拿到文件根据内容分析可能是被勒索病毒所加密,使用BDGandCrabDecryptTool进行破解 破解拿到一个日志文件,使用note++打开过滤fla g flag{2021_gkands_lv}
风尘剑心的最后回复, -
- 0 篇回复
- 79 次查看
具体任务 以静态分析为基础,对相应代码进行初步动态分析,要求体现出: 1.静态分析确定的线索 2.动态分析对上述线索的验证分析过程 3.动态分析的结论 4.动态分析中尚不能确定,有待进一步分析的内容 详细过程 1.静态分析确定的线索 首先,用Stud_PE打开查看本程序中的函数 通过上一次的静态分析,可以知道最主要的两个函数是CreateServiceA和InternetOpenA,我们由此猜测他的功能主要是创建一个服务然后联网使用一些信息。 使用strings分析查看结果: 此时查看不到什么有用的信息,因为我们为对他进行脱壳。将脱壳以后的文件unpacked再用strings分析一遍: 此时我们看到一个网站:www.malwareanalysisbook.com 以及Internet Explorer 8.0。我们猜测此文件病毒是创建一个服务去联网访问此网站,然后获得某些文件夹的属性来实现病毒里的功能。 2.动态分析对上述线索的验证分析过程 首先打开Process Explorer和Process Monitor这两个动态分析工具,然后打开Lab01-02.exe 然后再在Process Monitor中筛选PID:1292,查看该文件执行后具体的执行内容。 3.动态分析的结论 我觉得在执行此病毒文件时,在计算机中创建了一个服务一直访问之前找到的网站www.malwareanalysisbook.com,根据Proc…
轩辕三官的最后回复, -
GitHub 地址:https://github.com/Bypass007/Emergency-Response-Notes GitBook 地址:https://bypass007.github.io/Emergency-Response-Notes/ 项目介绍 面对各种各样的安全事件,我们该怎么处理? 这是一个关于安全事件应急响应的项目,从系统入侵到事件处理,收集和整理了一些案例进行分析。 我将持续更新这份笔记,希望能帮到有需要的人。 如果你看到好的案例,欢迎通过issue提交。 项目目录 [第一章:应急响应] 第1篇:Window入侵排查 第2篇:Linux入侵排查 [第二章:日志分析] 第1篇:Window日志分析 第2篇:Linux日志分析 第3篇:Web日志分析 第4篇:MSSQL日志分析 第5篇:MySQL日志分析 [第三章:Windows实战篇] 第1篇:FTP暴力破解 第2篇:蠕虫病毒 第3篇:勒索病毒 第4篇:ARP病毒 第5篇:挖矿病毒(一) 第6篇:挖矿病毒(二) [第四章:Linux实战篇] 第1篇:SSH暴力破解 第2篇:捕捉短连接 第3篇:挖矿病毒 第4篇:盖茨木马 第5篇:DDOS病毒 第6篇:Shell病毒 [第五章:Web实战篇] 第1篇:网站被植入Webshell 第2篇:门罗币恶意挖矿 第3篇:批量挂黑页 第4篇:新闻源网站劫持 …
RenX6的最后回复, -
- 0 篇回复
- 86 次查看
江民杀毒软件KV2008是江民反病毒专家团队针对网络安全面临的新课题,全新研发推出的计算机反病毒与网络安全防护软件,是全球首家具有灾难恢复功能的智能主动防御杀毒软件.江民杀毒软件KV2008采用了新一代智能分级高速杀毒引擎,占用系统资源少,扫描速度得到了大幅提升,突破了“灾难恢复”和 “病毒免杀”两大世界性难题.新品在KV2007的基础上新增三大技术和五项新功能,更在人机对话友好性和易用性上下足功夫,可有效防杀超过40万种的计算机病毒、木马、网页恶意脚本、后门黑客程序等恶意代码以及绝大部分未知病毒. 江民杀毒软件KV2008经过百万用户全面公测,稳定性和兼容性优越出众,国际顶尖计算机反病毒大师心血结晶加上百万用户的共同智慧,铸就功能强大、性能优越出众的软件精品. 智能高速杀毒引擎 江民杀毒软件KV2008采代了新一代智能分级高速杀毒引擎,占用系统资源少,病毒扫描速度得到了大幅提升。 智能主动防御 实时监控未知病毒 新BOOTSCAN:在系统启动前杀毒,清除具有自我保护和反攻杀毒软件的恶性病毒。 新系统监控:监控病毒行为,准确判断病毒的各种动作并引导用户进行相应处理。 网页滤毒:在对从互联网进入的数据流进行扫描过滤,在病毒未进入电脑前进行清除。 未知病毒主动监控:实时监控未知病毒,并对监测的目标给出4种安全级别和建议。 虚拟机脱壳技术:对目前主流壳病毒进行虚拟脱壳处理,有效清除“壳病毒”。 一、突破两大世界性计算机反病毒难题 突破由于新病毒、变种病毒和误操作导致杀毒滞后和系统崩…
HACK7YD的最后回复, -
- 0 篇回复
- 172 次查看
安全管家2012年上半年手机安全分析报告 近日,专业手机杀毒软件企业安全管家,发布了《2012年上半年度手机安全行业分析报告》。报告中对拦截的手机病毒数量、危害方式、病毒发展趋势等,进行了详细的分析和描述。 一、2012年上半年手机病毒概况 2012年1月-6月,安全管家通过移动云安全中心,共发现手机恶意软件33930款,其中安卓平台发现26580款手机恶意软件,塞班平台发现7350款。安卓平台相比去年同期增势猛劲,而塞班平台则出现下降趋势。 二、塞班平台2012年上半年手机病毒特征 2012上半年,塞班平台病毒危害特征与去年相比变化不大,主要集中在数据破坏、资费消耗、恶意扣费、恶意传播这四大大类。 数据破坏:大多数严重的流氓运行前就会关闭第三方安全类软件,在用户不知不觉中对用户造成损失。 资费消耗:频繁私自联网,消耗用户大量流量。 恶意扣费:私自发送定制业务短信,使用户在成不必要的损失。 恶意传播:捆绑安装其他流氓软件是一种比较常见的一种流氓传播方式。 三、安卓平台2012年上半年手机病毒特征 2012年上半年,Android平台病毒增长迅猛,相比去年同期有明显增长,尤其是6月份以来,Android平台手机病毒种类与数量的高速增长尤为明显。与传统的Symbian 平台手机木马危害不同的是,32%的Android 平台手机木马目标是悄悄吞噬用户的手机话费,另有12%的安卓木马则瞄准了手机通讯录、照片、短信、设备信息等用户隐私。从2012年第二季度开始,一类新…
cnhackteam7的最后回复, -
- 0 篇回复
- 79 次查看
https://fireeye.ijinshan.com/ 1.传说 孙大圣在太上老君的八卦炉里炼了七七四十九天,炼就了火眼金睛。但凡妖魔鬼怪被大圣的火眼一照,便立刻显露原形。 某年月日,安全实验室几个技术宅被老板关进八卦炉炼也不知过了几个七七四十九天,待到技术宅们开光显身之际,他们也炼成了一双“火眼”。 具体有没有炼够七七四十九天,有兴趣的同学可以问下坛子里那个叫"高压气瓶"的家伙。 2.“火眼”是什么 简单说,“火眼”就是一套自动化的病毒样本动态行为分析系统,可对未知文件的行为给出详细的分析报告。 这一点来讲,火眼和静态文件鉴定是两回事,这也是火眼和云鉴定的本质区别。 将火眼系统与医学检验设备类比可以很容易理解: 以前生病去医院做检查,检验师须配制分析试剂处理血样,在显微镜下仔细判读细胞的形态、数量、评估生理特性。效率很低,且受经验影响很大,同一份血样由不同的医师判读,可能相差甚远。 现在简单了,检验师直接将采集的样品放到一个自动分析仪中,几秒钟即可打印出化验单。医师看了化验单就大致了解病情,而一个比较了解医学知识的人,对着化验单,也能看个八九不离十。 “火眼”就是这样一套自动化的病毒样本分析系统,安全爱好者将自己采集到的可疑样本提交到系统中,等几分钟,系统就会给这个病毒样本打印出一份“化验单”。不太专业的安全爱好者对照这份“化验单”也能猜个八九不离十。 三.设计火眼的动机 毫无疑问,和医学科研一样,计算机病毒自动分析仪产生的最初动机,就是提升病毒分析的效率,用系统去模拟一个专业病毒分析师对可疑文件进行专业分析。 在没有“…
Tenfk的最后回复,