動態分析可觀察惡意**的真實行為
缺點:沙箱只能簡單的執行惡意程式 ,當程式有命令引數,或後門程式需要接收指令才能執行,在沙箱中無法啟動的。
啟動dll
rundll32.exe dllname, export arguments如
rundll32.exe rip.dll, install
rundll32.exe rip.dll, #5
net start service_name過濾器的使用
可檢視程序的使用的dll和使用handle(檔案控制代碼,互斥量、事件等等)
可使用驗證選項來驗證磁碟上的檔案是否有微軟的簽名,可通過記憶體替換技術繞過
分析惡意檔案 如惡意pdf和office檔案 來檢視創新的新程序和網路行為
nc -l -p 8888
nc www.baidu.com 80
inetsim 在linux平台上可以模擬常見的網路服務
第三章 動態分析基礎技術
動態分析是分析的第二步 乙個程式不是所有的 都會被執行到,比如有些需要命令列引數才會執行 沙箱是一種在安全環境裡執行不信任程式的機制,不用擔心傷害到 真正的 系統。沙箱包含乙個虛擬環境,通過某種方式模擬網路服務,以確保被測試的軟體或惡意 能正常執行 norman,gfi是最受歡迎的沙箱 這些沙箱用來...
第21章 動態鏈結庫
一 動態鏈結庫基本知識 1 動態鏈結庫模組可以有任何副檔名 exe,fon 但其標準副檔名是,dll。只有擴充套件名為.dll的動態鏈結庫才能被windows作業系統自動載入,否則明確的用loadlibrary,loadlibraryex 三 lib庫 擴充套件名為lib的檔案分物件庫和導入庫 1 ...
《C Primer》第12章 動態記憶體
shared ptr允許多個指標指向同乙個物件,unique ptr獨佔所指向的物件,用make shared函式分配動態記憶體,返回物件的shared ptr.程式使用動態記憶體的原因之一是需要在多個物件間共享資料,自己直接管理記憶體的類與使用智慧型指標的類不同,它們不能依賴類的物件拷貝 賦值和銷...