數種病毒樣本格式:
1卡巴斯基式病毒分析
詳細到骨子裡.有意圖分析和模闆關系.編寫者特征等.IP溯源家常便飯.
2金山火眼式
基本信息 火焰點評 危險行為 其它行為
行為描述 附加信息 注冊表監控 網絡監控
值得注意的是火眼使用最多兩種哈希來确定一個樣本.當然你可以使用其一.
3Comodo(毛豆)在線分析式
這是一張典型的使用毛豆進行掃描的結果:
Comodo的通過SHA256來進行樣本查詢操作:
4.SysTracer的監控報告
這裡應該簡單介紹一下SysTracer,它是一款行為追蹤監控程序.”喪心病狂”地使用了大量的鈎子:Shadow SSDT的667個函數全部被鈎,SSDT也未能”幸免”,總共284個函數除了NtAcceptConnectPort,NtAddAtom,NtDeviceIoControlFile,NtYieldExecution外的280個函數全部被鈎.這保證了一般惡意程序的行為會被完整地記錄下來.值得注意的一點是,以往的跟蹤經驗發現互斥對象的建立并沒有被SysTracer記錄.此外由于機制所限對于内核程序的行為SysTracer就素手無策了.
以下是它的監控報告:
漏洞的利用?
強勢的 自我保護 通常是為了掩蓋更多的信息.也以為這制作者的團隊規模非同尋常.這往往伴随着大量的機器被感染并可能組成 僵屍網絡 .
這樣的程序值得我們去用 卡巴斯基式分析 去探究.以使我們對樣本研究給其它反病毒工程師提供更多信息.
,更多精彩资讯请关注tft每日頭條,我们将持续为您更新最新资讯!