查看: 196971|回复: 61
收起左侧

[其他相关] 【新手上路】样本区常用词汇简单解析(2024/08/19更新)

  [复制链接]
白露为霜
发表于 2017-2-10 15:13:48 | 显示全部楼层 |阅读模式
本帖最后由 白露为霜 于 2024-8-19 15:49 编辑

【新手上路】
样本区常用词汇简单解析

1楼 概览
2楼 样本区词汇简单解析
3楼 安软及常用工具的简称
4楼 其他问题



  1. •本文中所指的“使用场景”为一般情况
  2. •解析仅作适合新手理解的介绍
  3. •使用所介绍工具有一定风险,务必清楚每一步操作的目的和后果
  4. •非论坛官方教程
  5. •Ctrl+Z快速查询
复制代码

•本帖将不定时维护:
  1. Last Update:2024/08/19
复制代码







本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 16经验 +120 原创 +1 人气 +17 收起 理由
QVM360 + 100 + 3 版区有你更精彩: )
绯色鎏金 + 20 感谢更新: )
275751198 + 1 版区有你更精彩: )
Virus4 + 1 精品文章
bayern + 1 多年未见好帖子

查看全部评分

白露为霜
 楼主| 发表于 2017-2-10 15:13:49 | 显示全部楼层
本帖最后由 白露为霜 于 2024-8-22 14:54 编辑

①APT
使用场景:样本来源说明
解析:
      


      APT,为Advanced Persistent Threat的缩写,意味高级持续性威胁。如果你的个人电脑经常受到恶意软件的威胁,并非“高级持续性威胁”,它一般指用先进的攻击手段长期地对某一个目标进行长时间的攻击,这些手段包括使用垃圾邮件,DDoS(稍后介绍),恶意软件等。它的目的一般为盗取核心资料,获取商业利益等等。有能力发动APT攻击的组织一般为国际性的网络犯罪集团,它们总是预先获得目标的大量情报信息再进行攻击,特点可概括为:破坏力强,危害大,持续时间长。
      实际上来说,攻/防是成本的较量,没有攻击是完全无法防御的,也没有防御是完美的。一般APT攻击的对象不会是个人,但个人可能受到影响,比如APT组织的一些恶意工具可能在地下论坛被二次修改转给其他人使用。
      目前流行的防御APT思路有三种:
1、采用高级检测技术和数据分析来发现APT攻击行为,举例:FireEye。
2、采用数据加密和数据防泄密防止机密外泄,举例:赛门铁克。
3、采用严格的身份认证和用户权限管理,严密控制内网对核心数据和业务的访问(也就是注重权限),举例:RSA。
      典型的APT组织如:Metel,GCMAN,Angler-EK,
Confucius

②ARK工具:
使用场景:样本分析
解析:

      ARK为Anti-Rootkit的缩写,为对抗Rootkit(稍后介绍)的一种工具,或者叫反内核工具。但不只是只能对抗Rootkit,其中的一些功能是十分有用的,比如杀进程,强制删除文件等。一般来说,此类工具(运行时)具有最高的系统权限,有些人用它来辅助手工杀毒。如果对一些内容不了解不要随意操作。
      常见的ARK工具(中文)有PCHunter,PowerTool等。


①动态启发
使用场景:回帖说明测试情况
解析:
   
可疑程序运行前将其放入一个虚拟环境(这个环境与系统隔开,通常情况下不会影响到系统安全),提取这个可疑程序的行为和启发特征库匹配,再行判断。这种手段资源占用较大,还让用户有一种延迟的感觉,影响体验,并且虚拟环境非真实Windows系统环境,恶意软件的行为并不总能表现出来,更有甚者能够绕过这个检测。
    具体什么程序被认为是可疑程序应该放入虚拟环境,各个杀毒及同一个杀软不同防御等级都不一样。
    典型的动态启发:Avast的“代码模拟”:


②DDoS
使用场景:样本来源分析
解析:
    DDoS,为Distributed Denial of Service的缩写,意味分布式拒绝服务攻击。其一般定义为
分布式拒绝服务攻击,是指击者利用大量“肉鸡”对攻击目标发动大量的正常或非正常请求、耗尽目标主机资源或网络资源,从而使被攻击的主机不能为合法用户提供服务。

使用DDoS攻击手段并不一定是组织,也有可能是个人。自己可以发展僵尸网络,也可以去购买DDoS服务去攻击其他网站达到某些目的。并且使对方的服务器瘫痪不一定是最终目的,也有可能是破坏性更大的攻击的掩护,比如盗取数据(趁火打劫),植入木马等。
     以下的介绍可以表明DDoS攻击的广泛性:     
     黑客在地下黑客市场一直提供DDoS攻击服务,包括俄罗斯的一些黑市上。一个黑客在论坛上售卖他的DDoS服务,说“能够利用DDoS攻击你的竞争对手的网站,论坛等,我们采取一切手段,可攻击防护很弱的站点到有很高安全性能的站点,快速干掉您的对手!”另一些黑客提供完全匿名攻击客户指定的计算机的服务。黑客们还承诺“长期客户,订购大量服务的购买者会得到较大的折扣”,提供7*24服务支持,并且客户花最少的钱起到最大的效果,如果客户有不满还可以退款,甚至他们还承诺这项黑客服务不违反国家法律,让购买者放心,看到这里,我们的安全分析专家觉得很搞笑。

③DLL
使用场景:样本分享贴,样本分析
解析:
    DLL,为Dynamic Link Library的缩写,意味动态链接库,这些DLL文件中包含着一些代码,其他程序运行时可以调用这个DLL中的函数(这里可以简单理解为“功能”)。后缀名是.dll的文件一定有一个PE文件头,表示它以被Windows解析并使用(任何一个可直接或间接执行的文件,要想让Windows执行,必须告诉一声Winsows“我是可以被执行的”),但其中包含的代码并非一定是本机代码。
      任何调用了DLL文件中“功能”的程序都不能独立完整地运行,在程序执行需要实时调用DLL文件中的“功能”时,程序会自动从
  1. 应用程序所在目录
  2. Windows系统目录
  3. Windows目录
  4. 系统环境变量指定目录
复制代码
      寻找在编写程序时链接了的DLL文件,如果没有找到,程序将无法执行相关任务。
      病毒木马可能会使用Windows的一些DLL,有些DLL中封装有敏感的“功能”,如kernel32.dll,其包含了内存管理,任务管理,资源控制的“功能”(写外.挂之类的程序可能会调用这个DLL)。也可以自己写DLL文再由主程序调用,目的是方便维护(升级时只用替换.dll文件不用替换程序文件),减小体积等。

      样本区的样本若为.dll文件,可以对其进行扫描测试,或者使用调用其中的函数来执行其中的功能。


①EDR软件使用场景:样本分享贴,样本分析EDR软件是一种专注于终端设备(如电脑、服务器、移动设备等)安全的工具,旨在检测、调查和响应可能的安全威胁。EDR的目的是通过持续监控终端的行为,快速识别并应对潜在的攻击。
EDR通常部署在企业环境中,并且包括一个集中控制台。以下是更详细的解释:
1. 部署在企业环境中的EDR
  • 终端(Endpoint Agent):EDR软件通常在企业的每个终端设备上安装一个客户端程序,这个客户端负责收集终端的活动数据,如文件操作、网络连接、进程启动等。这些数据会被实时发送到EDR的控制台进行分析。
  • 覆盖范围广泛:EDR可以部署在各种终端设备上,包括员工的电脑、服务器、移动设备等,从而提供全面的终端安全防护。
2. 集中控制台
  • 监控与管理中心:控制台是EDR的核心部分,安全团队通过这个界面来监控企业内所有终端设备的活动。控制台提供了可视化的分析工具,可以显示实时威胁信息、趋势分析、终端状态等。
  • 威胁响应与处置:当控制台检测到潜在的安全威胁时,管理员可以通过控制台立即采取响应措施,比如隔离受感染的终端、阻止特定网络连接、删除恶意软件等。
  • 日志记录与取证分析:控制台还会保存终端设备的活动日志和事件数据,帮助进行取证分析和事后调查。这对于了解攻击路径、识别攻击者、改进防护措施非常重要。
3. 策略管理与自动化
  • 策略配置:安全团队可以通过控制台配置安全策略,决定哪些行为是允许的,哪些是需要警告或阻止的。这些策略可以根据企业的安全需求和合规要求进行定制。
  • 自动化规则:控制台通常支持自动化规则的设定,当终端检测到符合某些条件的行为时,可以自动执行预定义的响应措施,减少人工干预的需求。
4. 与其他系统的集成
  • 安全生态系统:控制台通常可以与企业的其他安全系统(如SIEM、身份管理系统、网络安全设备等)集成,形成一个整体的安全管理平台。这种集成可以提升整体的安全态势感知能力,并简化管理流程。
因此,EDR的部署不仅是在终端设备上,还包括一个强大的控制台,帮助企业安全团队集中管理、监控、响应和分析安全事件。这种集中控制的方式使得EDR能够在企业环境中提供高效、全面的终端安全防护。常见的EDR软件有CrowdStrike Falcon、SentinelOne、Cortex XDR等。通常对于个人计算机,能够直接安装的EDR较少,需要企业进行采购。


①Hook/钩子
使用场景:样本分享贴,样本分析

解析:
       这里可把Hook当作一个“监听器”,它能够监听Windows系统的各种事件和消息,在监听到这个事件/消息后能够执行预先设定好的代码段(下称“函数”)。如果使用传统的Windows API编程,这是很重要的概念。
       比如单击一下窗口上的一个按钮Button1,就产生一个“消息”:“被按住”,而一个Hook在监听这个消息,随后便调用处理这个消息的函数。(此过程可称为“回调”,即低层函数[系统级]调用高层函数[一般是自定义的消息/事件处理函数])。
       经常看到安全软件提示的“加载全局钩子”,意思就是“全局监控”,这类钩子可以捕获整个系统的“一举一动”,对于不认识的程序应该禁止,在正常程序中,一般安全软件/工具,广告过滤器,甚至是某些游戏会加载全局钩子。


②互斥体
使用场景:样本分析
解析:

在任意时刻,只有一个线程被允许进入代码保护区。任何线程在进入临界区之前,必须获取与此区域相关联的互斥体的所有权。如果已有另一线程拥有了临界区的互斥体,其他线程就不能再进入其中。这些线程必须等待,直到当前的属主线程释放(release)该互斥体。什么时候需要使用互斥体呢?互斥体用于保护共享的易变代码,也就是,全局或静态数据。这样的数据必须通过互斥体进行保护,以防止它们在多个线程同时访问时损坏。


   其实简单来说,创建互斥体的目的就是:为了防止一个程序运行多个“实例”(同一个程序,运行着几个就是一个“实例”),即一个程序不能多开。病毒创建互斥体,可能是检测自身是否已经运行,如果是将不再创建一个新“实例”。实现这个功能并不难,Windows提供了相关接口。以下仅为示例:病毒创建互斥体的的行为与这个类似:
  1. //cpp
  2. #include <windows.h>
  3. #include <iostream>
  4. int main()
  5. {
  6.        HANDLE hMutex = CreateMutex(NULL, FALSE, "ONLY_ONE_PROCESS");
  7.        if (NULL == hMutex)
  8.       {
  9.               std::cout << "创建互斥体失败!" <<std::endl;
  10.               system("pause");
  11.               return -1;//创建互斥体失败则退出
  12.        }
  13.        if (hMutex && ERROR_ALREADY_EXISTS == GetLastError())
  14.        {
  15.               std::cout<<"程序已经在运行之中!"<<std::endl;
  16.               return -1;//程序已经有实例运行则退出
  17.        }
  18.        system("pause");
  19.        ReleaseMutex(hMutex);
  20.        std::cout<<"互斥体持有权已释放!"<<std::endl;
  21.        CloseHandle(hMutex);   
  22.        return 0;//正常退出
  23. }
复制代码




①加驱
使用场景:样本分享贴,样本分析
解析:

        一个程序要才能获得ring0(允许直接访问内核)的运行级别,可以通过安装“驱动”来实现。加载驱动后软件拥有最高权限,同时也十分危险,程序的一点小错误也可能引起蓝屏。加驱还可能绕过杀毒软件的防御,或者阻止杀毒软件的驱动加载甚至使其失效。(具体原因篇幅限制,有时间专门开贴说明,涉及NT内核的一些东西)
       对于一些软件的无意义加驱是没必要的,尤其是各种小众软件,要注意系统的稳定性了。若是病毒加驱,一定要阻止。
      

②加壳/脱壳
使用场景:样本分析
解析:

      加壳本身不一定是什么恶意行为,不要误解了。加壳,就是通过某种算法,改变exe文件或dll文件(参见前文“DLL”)的编码,为了缩小文件的体积(类似于“压缩”,这种叫“压缩壳”)或加密程序编码(防止被破解等,这种叫“加密“)。就像使用zip文件一样,一般来说对程序加壳不会破坏程序的运行,在程序被打开后,这个“壳”先把原来的程序“解压缩”出来再运行,这个时候壳内的程序即可运行了,这种动作是自动完成的。这样一定程度上隐藏了程序内部。如果仅仅是基于特征码分析而不对文件脱壳,一个恶意程序被加了不同的壳,就无法鉴别了,更何况壳也可以嵌套。为什么有些杀毒软件会报壳而不指明恶意软件类型,比如
  1. a variant of Win32/Packed.Themida
  2. TR/Crypt.XPACK.Gen
  3. Mal/EncPk-BL
复制代码

可能是无法脱壳或者判定此时脱壳会严重影响性能等原因,然后就直接“报壳”了。当然杀软一般也不是见壳就报,一个已经发布的文件被加壳,可疑度是比较高的。
       常见的脱壳有两种,一种被称为“硬脱壳”,即将加壳的加密算法进行逆向运算,但一般成功率不高,恶意软件用的“壳”均带有变形,加密的特点,同一个程序加壳生成的代码都不一样。另一种是“动态脱壳”,捕获程序运行后自行脱壳的“镜像”(就是程序原型),相对来说更为可靠。

③脚本
使用场景:样本分享贴
解析:

       简单来说,脚本是一系列控制计算机的(由人直接写的)语句。有人问了,像C语言,C++等不也是一系列的语句组成的吗,比如上文的"std::cout << "创建互斥体失败!" <<std::endl;"。其实这些语言的一系列语句经过编译器会生成一系列的二进制指令,不需要解释器(或者说这个“解释器”就是你的计算机)。而脚本语言不直接编译为二进制指令,而是由这类脚本专用解释器(通常是“软件”)去完成动作。脚本语言有很多,比如Javascript,Perl,PHP等。
       网页中可以嵌入脚本,这些脚本由浏览器的解释器执行,可能会产生有害的动作。而脚本也可以不由浏览器执行,在系统上由专用解释器执行。下图是Windows自带的VBS脚本解释器(执行错误)。

      

④进程/线程
使用场景:样本分析
解析:
      
当你打开你的Microsoft Word程序时,这个Word的实例就是一个“进程”,要在打印Word文档的同时还要编辑文档,打印文档和编辑文档就是两个线程。严格的来说:
进程是一个具有一定独立功能的程序在一个数据集上的一次动态执行的过程

进程就是一个程序执行的框架,进程会被分配资源,即“系统资源分配的单位”,而线程是这个程序中的各个任务。一个程序可以由多个线程,也可以没有(一般不会),即代表程序的并行任务有多少。如果一个程序是单线程,在同一个时间只能干一件事。
       如果你有一点点编程基础,更有助于理解线程和进程。以下的例子示范了线程的使用。(选看)
  1. using System;
  2. using System.Threading;
  3. class Test
  4. {
  5. static void Main(string[] args)//C#
  6.   {
  7.    new Thread(() => {for(int i=0 ;i<20;++i)  Console.WriteLine("Hello!");}).Start();
  8.    new Thread(() => {for(int i=0 ;i<20;++i)  Console.WriteLine("你好");}).Start();
  9.    Console.ReadKey();
  10.   }
  11. }
复制代码

      在现在的计算机上,一般以上输出“Hello!”和输出“你好”的线程会同时工作。
      病毒也可能用多线程技术,为了同时执行不同任务。经常见到的“进程注入”,“父进程”,“子进程”等请在下文查找。

⑤静态启发
使用场景:回帖说明测试情况
解析:

      当病毒程序没有执行之前,通过反编译器(和上文说的“编译”相反,即把二进制代码再近似还原到人写的语句)分析出程序要执行的命令,通过这些命令和行为特征库的对比,得出结论。反编译很难,不可能解析出所有指令。形象的比喻:(看见一个文质彬彬的人,再怎么看面相,也许是一个坏人呢?)
      
⑥JRE
使用场景:Android样本分析
解析:

      JRE,Java Runtime Environment的简称,意味Java程序运行环境。参见上文的“编译”,人用Java写的代码不同,其会被编译器转译为中间代码(IL),在运行程序时,JRE负责将IL解析成二进制代码,因为不论怎么样计算机执行的是二进制代码。至于更多细节,参考下文的“.NET Framework”,两者的原理类似。

      分析一些运行于Java虚拟机环境的病毒(相对很少),Android病毒,JRE一般是必备的。


⑦机器学习

使用场景:样本分享贴,样本分析,技术介绍等       机器学习与恶意软件检测的关系可以简单理解为:机器学习就像一个聪明的侦探,它通过分析大量已知的恶意软件样本,学习到这些恶意软件的共同特征和行为模式。然后,当遇到新的、未知的软件时,这个侦探可以根据学到的知识判断这个软件是否是恶意的。这样,机器学习帮助恶意软件检测系统更快、更准确地发现和阻止那些可能伤害电脑的程序。
       举个例子,市面上有很多流行的流氓软件,我们可以把这些已知的流氓软件收集起来,使用机器学习技术,训练出一个智能的模型,这样遇到未知的流氓软件(哪怕是刚刚自己编写的流氓软件),也有可能被检测出来。这样大大提升了对未知恶意软件的检测效果。
       很多现代的安全软件都应用了机器学习技术,比如360安全卫士的QVM引擎、瑞星V17的RDM决策引擎、Microsoft Defender的机器学习技术等。他们都可以通过学习大量的已知的恶意软件的特征(各种特征,包括但不限于行为特征),来判断一个全新的文件是否是有害的。
       神经网络、人工智能等术语,在样本区没有严格的区分。严格意义上,人工智能包含机器学习,机器学习包含神经网络。但是在样本区的实践中,意义是类似的:都是识别全新威胁的手段。


①勒索/敲竹杠/Ransom
使用场景:样本分享贴,样本分析
解析:

      一般本区说的“敲竹杠”指的是锁机木马之类的东西,如下图。加密用户文件,锁磁盘后需要赎金的,叫勒索/Ransom。但实际上勒索软件的一半定义是:
勒索软件是以通过各种手段来拒绝人们访问用户数据并要求支付赎金作为最终目标的一类恶意软件。


      勒索软件,一般会用高强度的加密算法加密用户文件,甚至加密整个磁盘,是无法破解的(除非算法有漏洞)。对于大公司来说防范勒索软件尤其重要。具体细节可参考(
http://bbs.kafan.cn/thread-2046421-1-1.html
http://bbs.kafan.cn/thread-2039496-1-1.html )等相关内容。
      典型的勒索软件有,Petya,Locky,CryptoWall等。

      防范勒索软件的方法有:
  1. 安装并使用一款或多款安全软件组合;
  2. 定期进行端口扫描;
复制代码

②MD5
使用场景:样本分享贴
解析:

      MD5值就相当一个文件的“指纹”,正常使用计算机时,两个不同的文件不会有相同的MD5值。如果样本区有两个样本MD5值相同,那么基本上就是重复了。但是MD5值不一样不代表不是行为不同的样本,因为文件发生任何改变MD5值随之改变,所以各种随机加壳,或者编译病毒时多写一些无关指令等也会造成MD5值不一样。
      MD5值是通过算法算出来的,文件本身不包含自己的MD5。



①.NET Framework
使用场景:样本分析
解析:
      有少量样本是.NET平台的,对于这一部分的内容,参见:
http://bbs.kafan.cn/thread-2073476-1-1.html)有详细的描述。

②逆向工程
使用场景:样本分析
解析:
      本区所提的一般为软件逆向工程。就是根据已有的东西,推导出这些功能的具体实现方法。可以反汇编,反编译,动态跟踪等等。同理也可以用来分析病毒。

①PID
使用场景:样本分析
解析:

      PID是系统给进程的标号,是动态的,由系统分配。相同进程,第一次运行和第二次运行所得的PID号不同。每一个进程的PID也是不同的。根据PID,可以结束进程(当然这不是唯一方法。
TASKKILL /PID 1230 /PID 1241 /PID 1253 /T

②PUP/PUA
使用场景:样本分享贴,样本分析,回帖说明测试情况
解析:
      Potentially Unwanted Program/Potentially Unwanted Application
      注意这里的PUA和社交媒体中提到的PUA完全不是一回事。
      指的是“不需要的程序”,一般是一些捆绑类广告程序被识别为这个类型,有些杀软报毒名中没有这个。它和Adware,RiskTool等没有严格界限。如图:





①R0/R1/R2/R3
使用场景:样本分析
解析:
     Intel的CPU为了实现访问控制,分了四个访问等级R0~R3,但是Windows只使用了两个(R0和R3)。R0的权限最大,它可以调用所有的CPU指令和访问所有的内存块,CPU将指令分为特权指令和非特权指令,那些特权指令比如清内存,设置时钟之类的,恶意调用会造成崩溃,所以一般是系统及部分软件才会有R0的权限,其他软件都只有R3的权限,如果没有R0的权限而发出特权指令,Windows会提示“非法/无效指令”并禁止执行。



②RAT/远控
使用场景:样本分享贴,样本分析
解析:

      RAT,为Remote Access Tool的缩写,意味远控工具,顾名即可思义,这种工具能够远程控制其他受感染的计算机。欣赏一下某RAT的控制台:


③Rootkit
使用场景:样本分享贴,样本分析
解析:

      Rootkit级病毒木马由于进入了系统底层(R0),通常难以检测难以清除,像幽灵一样。(具体原因涉及NT内核,有时间单独开贴)。如图为ZeroAccess Rootkit。图片来自http://bbs.kafan.cn/thread-1842289-1-1.html
      APT组织经常使用Rootkit木马窃取资料。


④RiskTool/Riskware
使用场景:样本分享贴
解析:
      一般注册机,破解补丁,拨号器之类的程序是“风险工具”。一般出现在杀软的报毒名或者英文安全报告中。



①扫描器
使用场景:回帖说明测试情况
解析:
   
指一类只有扫描功能,没有实时监控功能的工具。通常不会与已经运行的杀毒软件冲突。常见的有http://s.kafan.cn/ (绿色扫描器一栏)
    这里提供Dr.web CureIt和Kaspersky Virus Remove Tool的完整包下载地址(不能更新病毒库,只能每天下载最新版本,其附带有最新病毒库):
https://www.freedrweb.com/download+cureit/gr/?lng=en
http://devbuilds.kaspersky-labs. ... atest/full/KVRT.exe
     其他的如F-Secure Online Scanner不需要总是下载扫描器。

②SHA256
使用场景:样本分享贴
解析:
同“MD5”,只是算法不一样。

③沙盒/沙盘/沙箱
使用场景:样本分析
解析:
     杀盒是一个虚拟系统程序,可以在这个虚拟环境下运行程序,如果不漏沙(即沙箱的虚拟环境被穿透,里面的程序影响到外界系统)是安全的。有的时候沙箱可以用来快速测试可疑程序。后文会介绍几个常用的沙盒。

      程序运行在沙箱里会略微对性能有影响,并且不是所有程序在沙箱中都能正常运行,有些病毒软件为了隐藏自身,在检测到自身在沙箱中时不会有可疑行为产生。





①Windows API
使用场景:样本分析
解析:

      API,Application Programming Interface,应用程序编程接口。Windows API是用户模式(R3)系统编程接口。
      编写程序时要想让系统完成某些动作,就要通过特定的API来实现,接口就好比一个USB插口,通过这个插口可以让鼠标控制电脑操作。通过调用API可以完成一些任务,你无需关注内部是如何实现的,就像使用USB插口时不必关注鼠标是怎么控制电脑的。调用API是一个“层层相下”的过程,最终任务会由具体硬件完成。
      如果没有API,一些任务将无法完成。比如从样本区下载样本到本地磁盘,你就需要直接去控制硬件。
文件转成2进制=>计算当前可用的空间开始于磁盘的第几柱面/第几扇区之类的详细信息=>检查分区的文件系统=>针对相应的文件系统采用不同的记录方式=>使用对应的控制电流来让硬盘将指定区域的小磁块磁化成"1"或者"0"

上述过程并不完整,实际上更复杂,不同硬盘也有不同的记录方式。实际上你一般也没办法这么做,在R3下是没有直接访问硬件的权限的。
      
Windows API函数(函数就是完成一个动作特定的代码段)多如牛毛,主要涉及以下几个方面:
  1. •基本服务
  2. •组件服务
  3. •用户界面服务
  4. •图形与多媒体协作
  5. •网络
  6. •Web服务
复制代码


①虚拟机
使用场景:样本分析
解析:

      虚拟机是一个完全仿真的计算机,由软件实现,你在这一台仿真计算机上的操作通常不会破坏到实体机,因此本区经常用来测试病毒。你在普通计算机上能干的事,比如格式化磁盘,装系统等都可以在虚拟机里做。常见的虚拟机有VirtualBox,VMware(收费)等。


②注入
使用场景:样本分析
解析:

     当一个进程运行时,把自己的可执行代码注入到其他进程。注入不总是坏事,杀毒软件可能把自己的进程注入到其他进程中,所以说从任务管理器看到的杀软内存占用不是准确的!病毒使用此手段来感染系统,窃取信息等。一些外{过}{滤}挂也要注入目标进程修改数据。
     启动宿主进程的意思是:启动一个程序(通常是加入白名单的程序),并把自己附属在这个进程下面,当它的子进程或者把代码注入到父进程,然后自己再执行恶意代码,目的是绕过杀毒软件的检测。
     
③“主防”
使用场景:样本分析
解析:
      
“主防”这个概念也是各大区经常争吵的话题,它不像前面的JRE,PID等术语有严格的定义。鄙人认为:凡是能够通过各种手段分析已经运行的程序的行为特征并因此对其安全性作出判断的模块都可以叫“主防”。
         
更多内容参见:http://bbs.kafan.cn/thread-2059441-1-1.html
                              http://bbs.kafan.cn/thread-2070656-1-1.html
         这里不再赘述。下图为AVG的“主防”IDP(旧版)。










本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 4经验 +50 魅力 +1 人气 +3 收起 理由
QVM360 + 50 + 1 版区有你更精彩: )
KK院长 + 1 老司机带路!
windows7爱好者 + 1 感谢老司机科普
ericdj + 1 赞一个!

查看全部评分

白露为霜
 楼主| 发表于 2017-2-10 15:13:50 | 显示全部楼层
本帖最后由 白露为霜 于 2024-8-19 16:14 编辑

①Avira:
     
1.因其托盘图标是一个“小红伞”,所以把它叫做“小红伞”,来自德国,提供了免费的个人版。
        2.Avira在中国的官方代'理是爱红伞
        3.免费版离线包的下载地址
        4.按照上文“主防”的定义,它的“主防”是“APC",详情见简译Avira Protection Cloud官方白皮书
        5.入门贴参考:->Avira概述(Every aspect of Avira)
                            ->Avira 免费版VS ZeroAccess病毒
                            ->小红伞镜像升级服务器再现江湖!!!
                            ->解决小红伞开启Web Protection卡网现象

②Avast:
   
1.Avast来自捷克,同样提供免费版,且带网页防护。有一个不怎么出名的中文名字“爱维士”,但经常被叫做“小a”。
      2.按照官方说法=>“AVAST”指法律上的“AVAST责任有限公司”“avast!”作为图标而存在,书面文本上不用。“Avast”指产品和公司。
      3.入门贴参考->AVAST!12 疑难问题指南 V3.1
                         ->轻轻松松5分钟设置好AVAST 中文防火墙
                         ->Avast个人版FAQ-反复提及的问题~~~~~
                         ->Avast Business Security控制端使用参考手册
                         ->Avast CyberCapture技术完全解析
                         ->Avast:我们如何分析新生威胁?

关于Avast、AVG、Norton之间的关系参见:https://bbs.kafan.cn/forum.php?m ... 256049&pid=52935402。从使用的角度来说,AVG、Avast、Norton个人版没有什么区别。
③BitDefender:
   
1.总部位于罗马尼亚,有免费个人版并且带有“主防”。
      2.目前无正式的中国区代{过}{滤}理,所谓汉化版并不是官方版本。
      3.入门贴参靠->Bitdefender互联网安全套装 2017 英文版简单介绍及设置示例
                          ->比特梵德目前所使用技术的详细说明

④Comodo:
      1.提供免费的互联网安全套装,但单就其杀毒模块来说不强。
      2.入门贴参考-><小白教程>大众如何使用新版comodo?
                          ->新手装CIS10的注意点


⑤Dr.Web
      1.来自俄罗斯,也称作“大蜘蛛”。
      2.脱壳强劲,但不要迷信所谓“军工产品”之类的说法。
      3.有8元/年的反病毒版(无技术支持)且反病毒版带有防火墙。
      4.入门贴参考->Dr.Web(大蜘蛛)新手使用教程
                          ->Dr.Web(大蜘蛛)百科全书


⑥ESET NOD32
      
1.没有惯用的中文名字,来自斯洛伐克。与“趋势科技”,“诺顿”没有任何关系。
       2.入门参考贴->ESET区FAQ
                           ->ESET使用指南1——基本知识
                           ->ESET使用指南2——进阶知识
                           ->ESET使用指南3——网络防护[个人防火墙]


⑦F-Secure
      
1.来自芬兰,有免费使用的(常年都有的)测试版。有可以变相免费试用的企业客户端产品FSCS
       2.有主防“DeepGuard”,详情见F-secure Deepguard 技术简要介绍
       3.入门参考贴->新人用F-Secure Protection 全教程
                           ->新手用FSCS12教程
                        


⑧卡巴斯基
       1.来自俄罗斯,目前有免费的反病毒版本,但只针对中国和俄罗斯用户。
       2.不要想当然地认为“卡巴死机”,谨慎看待百度知道上的消息。
       3.软件的UI基于.NET4,关于.NET,参照上文。
       2.入门贴参考->•Kaspersky个人版FAQ~被反复提及的问题•
                           ->走近卡巴斯基(一)Anti-Phishing/Anti-Rootkit/Anti-Blocker/HIPS                  

                           ->走近卡巴斯基(二)KSN/系统监控/漏洞防护/反垃圾邮件
                           ->走近卡巴斯基(三)反加密勒索/安全支付/受信任程序模式/加密技术                  

                           ->【福利】卡巴斯基2016完全食用指南!!
                           ->卡巴斯基各个产品制作离线更新包的方法
                           ->卡巴智能信誉云防火墙KES10
                           ->科普卡巴斯基数据库结构。你的卡巴能杀多少毒?




其他安全工具:
       1.ARK类:推荐PCHunter,PowerTool,火绒剑。在较新的Windows 11和Windows 10平台上,很多ARK工具可能不能正常运行。
       2.虚拟机/沙盒类:VMware,VirtualBox,SandBoxie。
       3.在线工具:VirusTotal,Jotti,哈勃

评分

参与人数 2经验 +50 人气 +1 收起 理由
QVM360 + 50 版区有你更精彩: )
翼风Fly + 1 版区有你更精彩: )

查看全部评分

白露为霜
 楼主| 发表于 2017-2-10 15:13:51 | 显示全部楼层
本帖最后由 白露为霜 于 2024-8-18 17:15 编辑

其他注意事项

1.发布样本前请遵守论坛相关规定,部分样本应该谨慎发布(内含论坛限制的内容)。尽管它可以当作病毒。参见:https://bbs.kafan.cn/thread-2116820-1-1.html
2.任何杀毒软件都不能保证防范样本区的所有病毒。因此无论是实机运行还是虚拟机中运行,都应谨慎。不建议使用含有重要数据的电脑测试样本
3.如果回复内容很长(比如文字含量极大的杀毒软件扫描报告),可以使用“添加代码文字”来进行操作。
4.一些安全软件需要联网才能发挥最大的效果。比如金山毒霸、Panda杀毒、360安全卫士等。不同的测试环境会导致不同的测试结果。

j2016
发表于 2017-2-10 15:18:48 | 显示全部楼层
好高深
学雷锋做人
头像被屏蔽
发表于 2017-2-10 15:33:48 | 显示全部楼层
这样的帖子写出来很有意义,内容简单易懂,适合新人阅读,应该置顶!
cwl12315
发表于 2017-2-10 16:03:48 | 显示全部楼层
学习中
qwe12301
发表于 2017-2-10 16:07:53 | 显示全部楼层
好贴
月影天心
发表于 2017-2-10 16:22:03 | 显示全部楼层
不错,入门的好帖,形象生动
houtiancheng
发表于 2017-2-10 16:32:24 | 显示全部楼层
简单易懂,人工置顶~
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-5 02:07 , Processed in 0.143723 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表