[原创]病毒行为分析的一些想法-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]病毒行为分析的一些想法

发表于: 2013-11-29 16:35 29633

[原创]病毒行为分析的一些想法

小Biy

2013-11-29 16:35

29633

    论坛里有很多都是反汇编的大牛，拿到一个病毒样本，可以毫无压力进行人工分析。鄙人虽然在本科学习过病毒分析，但是真正实战分析病毒样本的时间还不到半年，而且还并不是专职分析（夹杂开发的任务），所以，对于人工病毒分析，没有太多可以分享的。目前自己在做关于病毒行为分析的一些工作，在这里谈谈自己对于病毒行为分析的一些想法。

    目前病毒分析主要分析两种，一种是人工分析，主要包括静态调试和动态调试，常用的工具主要包括IDA Pro和Ollydbg，以及一些壳分析的工具。一般来说，人工分析可以很彻底的分析这个程序，缺点也是显而易见，效率太低，对于病毒分析师的技术要求也是比较高。另外一种就是自动化的分析工具，主要包括一些沙箱工具、虚拟化的工具等，商业化的做的比较好的包括金山沙盒（现在毒霸没有这个功能），金山火眼等，开源的行为分析工具有Capture BAT ，ZeroWine等，优点是可以获取样本运行的行为记录，但同时不足包括：获取的行为不全（某些行为需要特定条件、特定操作触发等），行为分析方法不健全等。

    人工分析就不多讲了，论坛中的大牛不胜其数。现在就讲讲自动化的分析工具，可能你会问，什么样的情况下，需要获取样本的行为呢？一个是某些程序通过本地的杀毒软件，并不能判断它是否是病毒，于是一些厂商就通过将样本上传到服务器进行鉴定，其中的鉴定可能就包括行为分析，通过样本的行为判断该程序是不是病毒，另外就是对病毒样本进行统计分析和分类，通过对行为进行分析，判断该样本是那种病毒等等。

    目前对于行为分析，公开的成熟的模型并没有，可以参考的模型是IDS行为判别模型，通过建立规则库，对获取的行为进行标准化，并与规则库进行比对，判断行为。这是初步的模型，虽然这个初步的模型都不成熟。但是一些验证工作和建模工作都还在继续。规则库的一个弊端就是对于不在规则库中的行为，是无法鉴别，这样又陷入了早期病毒分析的“特征库”的瓶颈中。后续的提升性能的研究方向，包括虚拟化环境的完善，以及提升行为鉴别能力。

    第一次发言，能分享的东西不多，行为分析软件推荐Zerowine，网站：8adK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4A6W2M7X3!0%4K9h3&6W2i4K6u0W2M7$3!0#2M7X3y4W2k6X3!0J5k6$3g2Q4x3X3g2F1k6i4c8Q4x3V1j5`.
    zerowine安装：a83K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3u0D9L8$3N6Q4x3X3g2K6K9h3&6S2i4K6u0W2j5$3!0E0i4K6u0W2j5$3&6Q4x3V1k6K6i4K6u0r3j5X3I4G2k6#2)9#2k6U0j5J5y4r3p5^5x3K6j5H3x3o6p5H3x3i4q4E0L8i4m8Q4x3X3g2Z5N6r3#2D9

    附金山毒霸早期版本的沙盒（先启动毒霸，再启动沙盒）：74dK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4m8S2L8W2)9J5k6h3u0S2K9h3c8#2i4K6u0W2j5$3!0E0i4K6u0r3M7#2)9J5c8U0p5@1z5h3E0g2k6b7`.`.

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・5

免费・0

支持

最新回复 (18)
代码疯子雪币： 270 活跃值： (97) 能力值： ( LV8，RANK：140 ) 在线值：发帖 22 回帖 423 粉丝 1 关注私信	代码疯子 3 2 楼网上的自动化分析系统有很多，但是公开的都不是很好 2013-11-29 16:42 0
whnet 雪币： 185 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 1029 粉丝 0 关注私信	whnet 3 楼为何搞这么大的字体。。。 2013-11-29 18:23 0
gotmilk 雪币： 144 活跃值： (46) 能力值： ( LV6，RANK：90 ) 在线值：发帖 6 回帖 214 粉丝 1 关注私信	gotmilk 2 4 楼 marl 待会看 2013-11-29 19:18 0
hbcld 雪币： 43 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 238 粉丝 0 关注私信	hbcld 5 楼自动化分析应该是趋势，代码量越来越大，人工分析精力肯定跟不上 2013-11-29 19:20 0
Pathfinder 雪币： 912 活跃值： (87) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 55 粉丝 0 关注私信	Pathfinder 6 楼樓主這麼大的字體我看著很舒服,好!字太小了看著吃力啊 2013-11-29 23:30 0
Aipsa 雪币： 19 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 12 回帖 122 粉丝 0 关注私信	Aipsa 7 楼天天写烂尾工程的我都不好意思分析了。。。 2013-11-30 02:14 0
地狱怪客雪币： 341 活跃值： (153) 能力值： ( LV7，RANK：110 ) 在线值：发帖 23 回帖 1125 粉丝 12 关注私信	地狱怪客 2 8 楼不错哦。。了解了解。。。 2013-11-30 08:25 0
heidongqi 雪币： 56 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 63 粉丝 0 关注私信	heidongqi 9 楼其实现在很多毒一运行就会判断环境，比如是否处于虚拟机中，是否有监控软件，是否有处于分析沙盘等软件中。如果在就不运行恶意代码。甚至现在有些壳就具有这样的功能，鄙人不才就写过一个这样的壳。这种程序用自动分析软件分析，怎么都是正常的。。。一拿到系统中运行就呵呵了 2013-11-30 17:17 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 10 楼现在哪家不是以自动分析为主啊……不过分析一些特殊的的程序主力还是人工…… 2013-11-30 17:48 0
nullily 雪币： 14 活跃值： (24) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 61 粉丝 0 关注私信	nullily 11 楼谢谢搂主正在找这方面的东西！希望有机会可以交流一下！ 2013-12-2 11:50 0
小Biy 雪币： 3 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 15 粉丝 0 关注私信	小Biy 1 12 楼看起来内容显得比较多，O(∩_∩)O~ 2013-12-10 20:08 0
小Biy 雪币： 3 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 15 粉丝 0 关注私信	小Biy 1 13 楼看起来内容显得比较多，O(∩_∩)O~ 2013-12-10 20:11 0
小Biy 雪币： 3 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 15 粉丝 0 关注私信	小Biy 1 14 楼反虚拟机反沙箱反调试都是趋势，多多交流多多交流 2013-12-10 20:13 0
小Biy 雪币： 3 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 15 粉丝 0 关注私信	小Biy 1 15 楼多多交流，有两篇文章推荐给你，可以看看：《恶意代码检测与分类技术研究》 257K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3y4F1K9$3W2Q4x3X3g2F1k6i4c8Q4x3V1k6w2b7@1#2e0i4K6u0r3k6r3g2@1j5h3W2D9i4K6u0r3k6r3g2@1j5h3W2D9i4K6u0W2j5i4y4H3P5q4)9K6c8W2q4#2k6i4u0&6d9f1c8Q4x3@1b7J5i4K6t1$3b7%4g2J5f1X3g2U0i4K6y4p5x3W2)9J5y4Y4u0W2j5$3W2V1i4K6y4p5i4K6t1$3k6X3W2D9k6h3&6S2L8h3g2Q4x3@1b7I4x3o6p5I4x3U0f1I4z5o6V1@1i4K6u0W2L8X3S2Q4x3U0k6V1j5X3&6S2L8h3g2Q4x3@1c8o6e0f1k6p5e0p5q4e0g2o6t1H3x3e0u0Q4x3U0k6V1j5X3y4G2k6r3g2Q4x3@1c8o6e0f1k6p5i4K6t1$3M7s2u0Q4x3@1c8Q4x3U0k6#2M7X3I4A6k6q4)9K6c8q4)9J5y4Y4W2^5i4K6y4p5i4K6t1$3N6h3W2V1i4K6y4p5g2@1g2q4N6W2u0q4j5%4N6e0L8p5A6t1f1$3I4V1f1X3p5I4c8X3W2w2x3q4A6b7g2@1g2z5g2q4A6g2y4g2S2k6g2r3S2H3g2U0m8H3g2W2y4r3d9e0c8c8P5e0W2C8h3W2c8d9L8X3q4s2N6r3!0f1K9X3c8#2k6o6q4D9x3W2k6g2K9q4N6U0x3o6q4x3g2p5k6h3P5q4x3I4M7r3!0d9x3@1&6J5f1q4q4Q4x3@1c8Q4x3@1c8Q4x3U0k6$3i4K6y4p5e0h3A6c8P5p5!0p5d9i4W2z5K9$3M7K6f1Y4A6D9d9f1!0i4y4f1N6U0g2q4k6r3h3h3I4n7d9W2g2B7K9r3I4i4c8p5k6y4k6q4S2Z5h3W2g27k6p5g2S2c8p5k6g2e0e0y4r3g2h3y4D9k6p5&6y4g2g2A6&6f1e0q4h3f1#2c8s2x3h3I4i4L8g2k6C8k6r3E0K9c8r3u0E0P5q4N6U0K9e0W2n7g2X3E0k6i4K6y4p5 《恶意代码动态分析技术的研究与实现》 4adK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3y4F1K9$3W2Q4x3X3g2F1k6i4c8Q4x3V1k6w2b7@1#2e0i4K6u0r3k6r3g2@1j5h3W2D9i4K6u0r3k6r3g2@1j5h3W2D9i4K6u0W2j5i4y4H3P5q4)9K6c8W2q4#2k6i4u0&6d9f1c8Q4x3@1b7%4i4K6t1$3b7%4g2J5f1X3g2U0i4K6y4p5x3g2)9J5y4Y4u0W2j5$3W2V1i4K6y4p5i4K6t1$3k6X3W2D9k6h3&6S2L8h3g2Q4x3@1b7J5x3o6l9&6x3e0j5$3y4K6l9K6i4K6u0W2L8X3S2Q4x3U0k6V1j5X3&6S2L8h3g2Q4x3@1c8o6e0f1k6p5x3o6V1I4x3g2)9J5y4X3c8T1j5$3!0V1k6g2)9K6c8p5y4y4c8V1c8Q4x3U0k6H3M7W2)9K6c8q4)9J5y4Y4g2J5L8r3W2V1i4K6y4p5i4K6t1$3P5i4S2Q4x3@1c8Q4x3U0k6#2K9h3c8Q4x3@1c8i4c8f1g2$3f1V1g2U0N6#2y4D9d9V1S2e0L8r3c8d9j5e0q4r3K9f1D9H3h3W2m8i4c8f1&6f1h3W2f1#2h3q4W2f1K9s2m8h3x3s2m8h3f1@1k6u0y4q4q4&6z5h3E0K9g2q4u0F1j5f1N6@1L8#2c8B7k6s2g2V1x3h3H3J5g2W2g2Z5g2$3x3H3x3f1I4f1c8W2k6^5f1K6q4H3L8#2t1K6e0Y4u0b7f1g2)9K6c8q4)9K6c8q4)9J5y4Y4k6Q4x3@1c8y4K9V1V1I4e0Y4A6Z5f1@1!0s2g2W2W2y4g2i4R3I4k6f1k6D9g2p5^5H3f1X3!0y4g2W2q47j5#2k6d9P5g2j5H3x3s2S2d9L8V1A6p5g2W2k6v1e0h3u0i4g2X3q4K9g2#2t1J5f1X3E0z5N6h3u0r3h3V1#2z5x3o6g2i4e0g2c8u0x3#2u0B7k6p5I4w2x3r3c8a6h3h3D9I4P5g2y4C8g2X3W2g2c8h3E0Q4x3@1b7`. 一篇是介绍行为特征描述，一篇是介绍恶意行为建模方法 2013-12-10 20:18 0
heidongqi 雪币： 56 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 63 粉丝 0 关注私信	heidongqi 16 楼嗯，现在大多数行为分析软件都把注意力集中在了分析行为上，而没有想到隐藏自己上，这类软件如果能被检测到，行为分析就没有意义。就拿我的壳来说，运行加壳后的程序，会识别这类软件，一旦发现了，就不会解密数据，而会弹窗提示“请不要在某某下运行本程序”，然后退出程序。现在已经能检测出大多数常见的沙盘和行为分析软件，因为很多网站都是虚拟机的所以没有检测虚拟机。并且能够识别出杀软的虚拟机脱壳引擎。不过这壳的兼容性现在还有问题，要考虑的东西太多了（不好弄）。前面说了攻击方，说说防御方吧我没写过行为分析软件，以下是我猜的，如果错了，请指出。现在主流的沙盘和行为分析软件基本上都已经成型了，如果再去考虑隐藏本身不被被监控程序发现的话，真的很多地方都要改同样不好弄。所以这类软件我觉得在设计的时候就应该把隐藏本身考虑进去。 2013-12-11 15:45 0
lovelyday 雪币： 31 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 169 粉丝 0 关注私信	lovelyday 17 楼可以用真机来做行为分析，只是自动化的难度貌似比较高 2013-12-17 23:21 0
lovelyday 雪币： 31 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 169 粉丝 0 关注私信	lovelyday 18 楼表示杀软一般内部用的行为分析的工具都是不外泄的，就是为了防止被检测，只要外面不知道，那们病毒基本上没法发现监控程序 2013-12-20 12:57 0
Aaah 雪币： 82 活跃值： (426) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 233 粉丝 0 关注私信	Aaah 19 楼我一直以为分析病毒大家用的都是N年前瑞星漏出出去的黑镜头或是SDS，要不然就是现在的火绒剑呢当然老外用pin 2013-12-26 10:25 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

小Biy

发帖

回帖

RANK

关注

私信

他的文章

[原创]树莓派上手小记 56441
[原创]病毒行为分析的一些想法 29634

关于我们

联系我们

企业服务

看雪公众号

最新回复 (18)
代码疯子雪币： 270 活跃值： (97) 能力值： ( LV8，RANK：140 ) 在线值：发帖 22 回帖 423 粉丝 1 关注私信	代码疯子 3 2 楼网上的自动化分析系统有很多，但是公开的都不是很好 2013-11-29 16:42 0
whnet 雪币： 185 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 1029 粉丝 0 关注私信	whnet 3 楼为何搞这么大的字体。。。 2013-11-29 18:23 0
gotmilk 雪币： 144 活跃值： (46) 能力值： ( LV6，RANK：90 ) 在线值：发帖 6 回帖 214 粉丝 1 关注私信	gotmilk 2 4 楼 marl 待会看 2013-11-29 19:18 0
hbcld 雪币： 43 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 238 粉丝 0 关注私信	hbcld 5 楼自动化分析应该是趋势，代码量越来越大，人工分析精力肯定跟不上 2013-11-29 19:20 0
Pathfinder 雪币： 912 活跃值： (87) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 55 粉丝 0 关注私信	Pathfinder 6 楼樓主這麼大的字體我看著很舒服,好!字太小了看著吃力啊 2013-11-29 23:30 0
Aipsa 雪币： 19 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 12 回帖 122 粉丝 0 关注私信	Aipsa 7 楼天天写烂尾工程的我都不好意思分析了。。。 2013-11-30 02:14 0
地狱怪客雪币： 341 活跃值： (153) 能力值： ( LV7，RANK：110 ) 在线值：发帖 23 回帖 1125 粉丝 12 关注私信	地狱怪客 2 8 楼不错哦。。了解了解。。。 2013-11-30 08:25 0
heidongqi 雪币： 56 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 63 粉丝 0 关注私信	heidongqi 9 楼其实现在很多毒一运行就会判断环境，比如是否处于虚拟机中，是否有监控软件，是否有处于分析沙盘等软件中。如果在就不运行恶意代码。甚至现在有些壳就具有这样的功能，鄙人不才就写过一个这样的壳。这种程序用自动分析软件分析，怎么都是正常的。。。一拿到系统中运行就呵呵了 2013-11-30 17:17 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 10 楼现在哪家不是以自动分析为主啊……不过分析一些特殊的的程序主力还是人工…… 2013-11-30 17:48 0
nullily 雪币： 14 活跃值： (24) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 61 粉丝 0 关注私信	nullily 11 楼谢谢搂主正在找这方面的东西！希望有机会可以交流一下！ 2013-12-2 11:50 0
小Biy 雪币： 3 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 15 粉丝 0 关注私信	小Biy 1 12 楼看起来内容显得比较多，O(∩_∩)O~ 2013-12-10 20:08 0
小Biy 雪币： 3 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 15 粉丝 0 关注私信	小Biy 1 13 楼看起来内容显得比较多，O(∩_∩)O~ 2013-12-10 20:11 0
小Biy 雪币： 3 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 15 粉丝 0 关注私信	小Biy 1 14 楼反虚拟机反沙箱反调试都是趋势，多多交流多多交流 2013-12-10 20:13 0
小Biy 雪币： 3 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 15 粉丝 0 关注私信	小Biy 1 15 楼多多交流，有两篇文章推荐给你，可以看看：《恶意代码检测与分类技术研究》 257K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3y4F1K9$3W2Q4x3X3g2F1k6i4c8Q4x3V1k6w2b7@1#2e0i4K6u0r3k6r3g2@1j5h3W2D9i4K6u0r3k6r3g2@1j5h3W2D9i4K6u0W2j5i4y4H3P5q4)9K6c8W2q4#2k6i4u0&6d9f1c8Q4x3@1b7J5i4K6t1$3b7%4g2J5f1X3g2U0i4K6y4p5x3W2)9J5y4Y4u0W2j5$3W2V1i4K6y4p5i4K6t1$3k6X3W2D9k6h3&6S2L8h3g2Q4x3@1b7I4x3o6p5I4x3U0f1I4z5o6V1@1i4K6u0W2L8X3S2Q4x3U0k6V1j5X3&6S2L8h3g2Q4x3@1c8o6e0f1k6p5e0p5q4e0g2o6t1H3x3e0u0Q4x3U0k6V1j5X3y4G2k6r3g2Q4x3@1c8o6e0f1k6p5i4K6t1$3M7s2u0Q4x3@1c8Q4x3U0k6#2M7X3I4A6k6q4)9K6c8q4)9J5y4Y4W2^5i4K6y4p5i4K6t1$3N6h3W2V1i4K6y4p5g2@1g2q4N6W2u0q4j5%4N6e0L8p5A6t1f1$3I4V1f1X3p5I4c8X3W2w2x3q4A6b7g2@1g2z5g2q4A6g2y4g2S2k6g2r3S2H3g2U0m8H3g2W2y4r3d9e0c8c8P5e0W2C8h3W2c8d9L8X3q4s2N6r3!0f1K9X3c8#2k6o6q4D9x3W2k6g2K9q4N6U0x3o6q4x3g2p5k6h3P5q4x3I4M7r3!0d9x3@1&6J5f1q4q4Q4x3@1c8Q4x3@1c8Q4x3U0k6$3i4K6y4p5e0h3A6c8P5p5!0p5d9i4W2z5K9$3M7K6f1Y4A6D9d9f1!0i4y4f1N6U0g2q4k6r3h3h3I4n7d9W2g2B7K9r3I4i4c8p5k6y4k6q4S2Z5h3W2g27k6p5g2S2c8p5k6g2e0e0y4r3g2h3y4D9k6p5&6y4g2g2A6&6f1e0q4h3f1#2c8s2x3h3I4i4L8g2k6C8k6r3E0K9c8r3u0E0P5q4N6U0K9e0W2n7g2X3E0k6i4K6y4p5 《恶意代码动态分析技术的研究与实现》 4adK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3y4F1K9$3W2Q4x3X3g2F1k6i4c8Q4x3V1k6w2b7@1#2e0i4K6u0r3k6r3g2@1j5h3W2D9i4K6u0r3k6r3g2@1j5h3W2D9i4K6u0W2j5i4y4H3P5q4)9K6c8W2q4#2k6i4u0&6d9f1c8Q4x3@1b7%4i4K6t1$3b7%4g2J5f1X3g2U0i4K6y4p5x3g2)9J5y4Y4u0W2j5$3W2V1i4K6y4p5i4K6t1$3k6X3W2D9k6h3&6S2L8h3g2Q4x3@1b7J5x3o6l9&6x3e0j5$3y4K6l9K6i4K6u0W2L8X3S2Q4x3U0k6V1j5X3&6S2L8h3g2Q4x3@1c8o6e0f1k6p5x3o6V1I4x3g2)9J5y4X3c8T1j5$3!0V1k6g2)9K6c8p5y4y4c8V1c8Q4x3U0k6H3M7W2)9K6c8q4)9J5y4Y4g2J5L8r3W2V1i4K6y4p5i4K6t1$3P5i4S2Q4x3@1c8Q4x3U0k6#2K9h3c8Q4x3@1c8i4c8f1g2$3f1V1g2U0N6#2y4D9d9V1S2e0L8r3c8d9j5e0q4r3K9f1D9H3h3W2m8i4c8f1&6f1h3W2f1#2h3q4W2f1K9s2m8h3x3s2m8h3f1@1k6u0y4q4q4&6z5h3E0K9g2q4u0F1j5f1N6@1L8#2c8B7k6s2g2V1x3h3H3J5g2W2g2Z5g2$3x3H3x3f1I4f1c8W2k6^5f1K6q4H3L8#2t1K6e0Y4u0b7f1g2)9K6c8q4)9K6c8q4)9J5y4Y4k6Q4x3@1c8y4K9V1V1I4e0Y4A6Z5f1@1!0s2g2W2W2y4g2i4R3I4k6f1k6D9g2p5^5H3f1X3!0y4g2W2q47j5#2k6d9P5g2j5H3x3s2S2d9L8V1A6p5g2W2k6v1e0h3u0i4g2X3q4K9g2#2t1J5f1X3E0z5N6h3u0r3h3V1#2z5x3o6g2i4e0g2c8u0x3#2u0B7k6p5I4w2x3r3c8a6h3h3D9I4P5g2y4C8g2X3W2g2c8h3E0Q4x3@1b7`. 一篇是介绍行为特征描述，一篇是介绍恶意行为建模方法 2013-12-10 20:18 0
heidongqi 雪币： 56 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 63 粉丝 0 关注私信	heidongqi 16 楼嗯，现在大多数行为分析软件都把注意力集中在了分析行为上，而没有想到隐藏自己上，这类软件如果能被检测到，行为分析就没有意义。就拿我的壳来说，运行加壳后的程序，会识别这类软件，一旦发现了，就不会解密数据，而会弹窗提示“请不要在某某下运行本程序”，然后退出程序。现在已经能检测出大多数常见的沙盘和行为分析软件，因为很多网站都是虚拟机的所以没有检测虚拟机。并且能够识别出杀软的虚拟机脱壳引擎。不过这壳的兼容性现在还有问题，要考虑的东西太多了（不好弄）。前面说了攻击方，说说防御方吧我没写过行为分析软件，以下是我猜的，如果错了，请指出。现在主流的沙盘和行为分析软件基本上都已经成型了，如果再去考虑隐藏本身不被被监控程序发现的话，真的很多地方都要改同样不好弄。所以这类软件我觉得在设计的时候就应该把隐藏本身考虑进去。 2013-12-11 15:45 0
lovelyday 雪币： 31 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 169 粉丝 0 关注私信	lovelyday 17 楼可以用真机来做行为分析，只是自动化的难度貌似比较高 2013-12-17 23:21 0
lovelyday 雪币： 31 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 169 粉丝 0 关注私信	lovelyday 18 楼表示杀软一般内部用的行为分析的工具都是不外泄的，就是为了防止被检测，只要外面不知道，那们病毒基本上没法发现监控程序 2013-12-20 12:57 0
Aaah 雪币： 82 活跃值： (426) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 233 粉丝 0 关注私信	Aaah 19 楼我一直以为分析病毒大家用的都是N年前瑞星漏出出去的黑镜头或是SDS，要不然就是现在的火绒剑呢当然老外用pin 2013-12-26 10:25 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复