识毒手册1.0
本帖最后由 梦幻的彼岸 于 2020-6-3 17:22 编辑发布日期:2020年6月3日
更新日期:2020年6月3日
注意:此为个人学习记录,分析出来,希望可以指正不当之处与引导学习方向,也盼望伙伴们可从此文获取稍许收获,不敢奢求太多,风雨无阻,一路前行
static/image/hrline/1.gif
常见病毒特点:
1.隐蔽性,不易被发现。
2.传染性,可以通过种种途径传播。
3.窃密性,未经过用户允许窃取隐私信息
4.潜伏性,计算机病毒的作者可以让病毒在莫一时间自动运行。
5.破坏性,可以破坏电脑,造成电脑运行速度变慢.死机.蓝屏等问题
6.可触发行,病毒可以在条件成熟时运行,这样就大大增加的病毒的隐蔽性和破坏性。
7.寄生性,可以寄生在正常程序中,可以跟随正常程序一起运行,但是病毒在运行之前不易被发现。
常见病毒成分:
[*]可疑后缀标识
例如:.exe、.vbs等
解析:如果搜索到此类字符串,则进一步查看是否有显示链接地址,有的话就要注意了,这很有可能就是病毒下载链接,这样的程序建议直接删除,若使用先在虚拟机中运行,并监测其运行行为。
举例:
[*]可疑链接
解析:访问可疑地址,留待观察,切记发现可疑地址,不要第一时间手动访问,做好防护之后在访问验证。
举例:
[*]内含其它可执行文件
解析:发现主程序内含有其它可运行程序,可能该文件已携带病毒程序
举例:
在可执行文件内部搜索可执行文件
搜索出的可执行文件火绒报毒,像这种若不是必要的话就不要运行了,很有可能含有病毒,若使用先在虚拟机中运行,并监控其运行行为,进行深入分析。
[*]创建autorun.inf文件
解析:autorun.inf文件允许在双击磁盘时自动运行指定的某个文件,被利用:通过使用者的误操作让目标程序执行,达到侵入电脑的目的
[*]创建自启动,伪装系统服务
解析:为了攻击病毒常常通过启动项隐藏自己:病毒为了能随系统启动而自启动对电脑进行危害操作,通常会把自己设置为自动启动。更有甚者,它们还会将自己注册成系统服务,优先于其他程序启动。
[*]病毒特征码
解析:特征码就是从病毒体内不同位置提取的一系列字节,杀毒软件就是通过这些字节及位置信息来检验某个文件是否病毒
举例:Md5对比
行为监控,调试分析:
[*]安全第一,上传分析平台,进行分析
举例:
[*]在线分析平台: //排名不分先后
https://app.any.run/
https://habo.qq.com/
https://s.threatbook.cn/
https://www.virscan.org/
http://www.scanvir.com/
https://virusscan.jotti.org/
https://www.virustotal.com/
https://sandbox.ti.qianxin.com/
https://www.maldun.com/dashboard/
[*]技术王道,虚拟机、本地沙盒运行 //小心病毒穿透虚拟保护,与联网扩散
[*]常用沙盒: //排名不分先后
https://cuckoosandbox.org/
https://www.sandboxie.com/
[*]联网监控
解析:监控目标程序的联网行为,是否下载病毒文件
举例:
先护已,在护他 感谢分享手册,专业知识。 多谢分享!
帖子写的挺好,建议后期可以考虑做成电子书或PDF一类 謝謝版主的教學好好學習天天向上 F-T 发表于 2020-6-3 18:53
帖子写的挺好,建议后期可以考虑做成电子书或PDF一类
内容多了就制作离线手册
太犀利了
谢谢楼主分享 感谢分享。收藏备用。 感谢分享专业知识。
页:
[1]