用户
搜索
  • TA的每日心情
    慵懒
    2017-11-2 16:01
  • 签到天数: 25 天

    连续签到: 1 天

    [LV.4]经常看看II

    i春秋-脚本小子

    Rank: 2

    14

    主题

    35

    帖子

    225

    魔法币
    收听
    0
    粉丝
    0
    注册时间
    2016-10-25
    发表于 2017-5-7 22:38:09 217428
    你们怎么检测软件是否含有病毒?不要杀毒软件,毕竟下的就是一些黑客工具。也不要软件逆向,门槛太高。应该有方法检测软件行为吧,你们有什么好的方法。
      反正虚拟机运行是肯定的,然后可以监控一系列动作,就像九楼说的,文件行为监控啊,注册表监控啊什么的,至于hex什么的,我是觉得不靠谱的,毕竟这也没有一个标准,而且也不能看出来有什么东西,后门什么的除了人工手动去判断之外,运用一些标准点的专业软件也是很好的选择,BAT应该有很多这些东西的,沙盒调试啊什么的还是不错的,有更牛的也可以反编译,这肯定更好啦

    评分

    参与人数 1魔法币 +20 收起 理由
    ONE_ + 20

    查看全部评分

    使用道具 举报 回复
    发表于 2017-5-12 11:15:40
    1.首先环境大家都说了,在不清楚状况的前提下肯定是沙箱、虚拟机;
    2.第二步我一般会把样本的HASH算一下丢到各种分析云上看看,毕竟比较方便嘛~
    3.第三步就上简单分析工具:
    a.Proces**plorer看看进程
    b.ProcessMonitor看看文件注册表
    c.TCPView看看网络连接
    d.Wireshark看看上传下载访问
    4.牛牛的大大们肯定IDA、OD了,可怜小菜还是路上~

    评分

    参与人数 1魔法币 +30 收起 理由
    yyyxy + 30 感谢你的分享,i春秋论坛有你更精彩!.

    查看全部评分

    举世皆醒我独醉,世情淡泊我如胶
    使用道具 举报 回复
    最好的方式当然是使用虚拟机进行测试,看是否有没有异常。条件不允许也可以使用虚拟沙箱进行运行来监控,类似360的隔离沙箱这样进行运行。最后实在不想就简单的用火眼 等一些在线检测的软件也是有一定的参考性。最后就是当运行的时候有没有修改哪一些关键的注册表,异常的文件操作 或者网络流量 等等痕迹进行判断

    评分

    参与人数 1魔法币 +30 收起 理由
    春秋文阁负责人 + 30 感谢你的分享,i春秋论坛有你更精彩!.

    查看全部评分

    使用道具 举报 回复
    把自己下载的软件和正式版或者其他网站的md5对比一下是个很好的办法,然后还可以平常监控一下自己电脑的流量,看有没有异常连接、有没有谁开了异常端口,当然更保险的方式是直接扔进虚拟机,不过我平常嫌虚拟机太卡,所有可疑软件都是直接右键用360隔离沙箱运行。

    评分

    参与人数 1魔法币 +30 收起 理由
    ONE_ + 30 欢迎分析讨论交流,i春秋论坛有你更精彩!.

    查看全部评分

    使用道具 举报 回复
    我习惯在虚拟机里运行,有时间的可以用腾讯的哈勃分析系统和谷歌的VirusTotal分析下安全性 ,类似的系统还有JoeSandbox B超 火眼 VirSCAN ,本机里运行软件如果不放心的话一般用360自带的沙盒运行。还可以抓包分析其网络行为, 会反编译的大神还可以进行反编译。

    评分

    参与人数 1魔法币 +30 收起 理由
    ONE_ + 30 欢迎分析讨论交流,i春秋论坛有你更精彩!.

    查看全部评分

    使用道具 举报 回复
    放到虚拟机,然后开burp检测,同时再开一个虚拟机,再进行使用测试,再开一个burp,监视一下流量走向。如果怕软件带的不是这种植入后门等等地病毒。那就把软件拆开看看。

    评分

    参与人数 1魔法币 +30 收起 理由
    春秋文阁负责人 + 30 感谢你的分享,i春秋论坛有你更精彩!.

    查看全部评分

    使用道具 举报 回复
    网上下的工具 不确定有没有捆绑 毕竟 360等一系列杀毒软件 误报毒有的很正常 所以推荐在虚拟机下使用   
    使用道具 举报 回复
    怕啥?杀毒软件防火墙关了裸奔贼爽
    使用道具 举报 回复
    发表于 2017-5-8 15:25:27
    我是新手,平时对文件有怀疑的时候,用火眼分析等用的多用得多,还有就是效验MD5。。。还有就是查看任务管理器资源了,,,当然这是没有杀毒软件的情况。。。

    评分

    参与人数 1魔法币 +30 收起 理由
    yyyxy + 30 感谢你的分享,i春秋论坛有你更精彩!.

    查看全部评分

    使用道具 举报 回复
    发表于 2017-5-8 15:34:22
    一般上不会去管带不带毒,反正就虚拟里用用。真有毒的话,就可以玩耍学习了,看看它的原理学习一波。可以用抓包工具,看看它发的都是些什么信息。
    使用道具 举报 回复
    发表于 2017-5-8 15:39:06
    反正我一般都是看打开的软件  有没有在上传和下载东西
    使用道具 举报 回复
    发表于 2017-5-8 15:39:45
    还真不清楚用别的方法怎么检验,学习一下。
    使用道具 举报 回复
    发表于 2017-5-8 15:40:33
    方法很多,比如说:
    1.文件行为监控
    2.注册表监控
    3.OD或IDA pro
    4.查看程序是否带壳以及dll动态链接库功能
    方法挺多,逐一测试

    评分

    参与人数 1魔法币 +30 收起 理由
    ONE_ + 30 欢迎分析讨论交流,i春秋论坛有你更精彩!.

    查看全部评分

    使用道具 举报 回复
    对不起,从不装啥安全软件,我只喜欢裸奔。来呀!快活啊!咬我呀!
    使用道具 举报 回复
    发表于 2017-5-8 15:42:41
    北大荒 发表于 2017-5-8 15:40
    方法很多,比如说:
    1.文件行为监控
    2.注册表监控

    还有最简单的虚拟机直接运行 - -
    使用道具 举报 回复
    发表于 2017-5-8 15:54:06
    安装完成后断网,或者打开软件后断网,看看有没有异常
    使用道具 举报 回复
    发表于 2017-5-10 10:00:05
    裸奔路过,还是推荐虚拟机或者沙箱来玩
    http://blog.163.com/sy_butian/欢迎交流
    使用道具 举报 回复
    12下一页
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册