恶意代码技术理论:YARA规则
官方网址:https://yara.readthedocs.io/ github地址:https://github.com/VirusTotal/yara/releases 1 概述 YARA 是一种旨在(但不限于)帮助恶意软件研究人员识别和分类恶意软件样本的工具。使用 YARA,您可以基于文本或二进制模式创建恶意软件系列(或任何您想描述的内容)的描述。每个……
恶意代码技术理论:加密算法总结
1 对称加密 1.1 DES加密算法 DES算法的入口参数有三个:Key、Data、Mode。 其中Key为8个字节共64位,是DES算法的工作密钥; Data也为8个字节64位,是要被加密或被解密的数据; Mode为DES的工作方式,有两种:加密或解密。 1.2 3DES加密算法 3DES是DES加密算法的一种模式,它使用3条64位的密钥对数据进行三次加密……
信息熵在恶意代码分析中的作用
1 信息与信息熵 信息:在计算机科学中,我们通常认为信息是一种数据或指令的集合,泛指我们通过载体传播的内容。 信息量:对信息的度量,一般用bit。香农对信息量计算公式如下 信息熵:1948年,香农提出了“信息熵”的概念,解决了对信息的量化度量问题,即有多少信息。“信息熵”是香农从热力学“热熵”(表示分子状态混乱程度的物理量)借用过来,熵是形容物质混乱程度的……
恶意代码技术理论:恶意脚本-LNK分析
1. Lnk格式解析 微软原文链接:https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-shllink/16cb4ca1-9339-4d0c-a68d-bf1d6cc0f943 微软文件手册:https://docs.microsoft.com/en-us/openspecs/wi……
恶意代码技术理论:恶意代码分析指南针
基础技能 x86汇编 王爽老师的《汇编语言》 x64汇编 https://bbs.pediy.com/thread-43967.htm https://bbs.pediy.com/thread-44078.htm https://bbs.pediy.com/thread-206780.htm ARM汇编/MIPS汇编/其他汇编 ARM、MIPS架构的恶意样本……
恶意代码技术理论:动静态分析前进行检测
代码相似度 intezer intezer网站提供代码基因检测,检测出相似性:https://analyze.intezer.com/ 该网站提供IDA插件,检测代码相似度 Bindiff 二进制对比,用来检测两份样本相似度,提供IDA插件 判断样本功能 capa Fireeye开发capa用来检测样本功能:https://github.com……
恶意代码技术理论:VB语言恶意代码分析
Visual Basic Visual Basic(简称VB)是Microsoft公司开发的一种通用的基于对象的程序设计语言,为结构化的、模块化的、面向对象的、包含协助开发环境的事件驱动为机制的可视化程序设计语言。是一种可用于微软自家产品开发的语言。 “Visual” 指的是开发图形用户界面 (GUI) 的方法——不需编写大量代码去描述界面元素的外观和位……
恶意代码技术理论:python语言恶意代码分析
pyinstaller打包成exe –onefile 将结果打包成一个可执行文件 –onedir 将所有结果打包到一个文件夹中,该文件夹包括一个可执行文件和可执行文件执行时需要的依赖文件(默认) –paths=DIR 设置导入路径 –distpath=DIR 设置将打包的结果文件放置的路径 –sp……