• 我们在哪一颗星上见过 ,以至如此相互思念 ;我们在哪一颗星上相互思念过,以至如此相互深爱
  • 我们在哪一颗星上分别 ,以至如此相互辉映 ;我们在哪一颗星上入睡 ,以至如此唤醒黎明
  • 认识世界 克服困难 洞悉所有 贴近生活 寻找珍爱 感受彼此
恶意代码技术理论:Sigma规则

恶意代码技术理论:Sigma规则

1 Sigma概述 Sigma 是一种通用且开放的签名格式,允许您以直接的方式描述相关的日志事件。规则格式非常灵活,易于编写,适用于任何类型的日志文件。 Sigma 是一个开放的规则标准,允许您以通用形式描述对日志数据的搜索。这些规则可以转换并应用于许多日志管理或 SIEM 系统,甚至可以在命令行上与 grep 一起使用。 GitHub地址:https://……

恶意代码技术理论:Sonrt规则

恶意代码技术理论:Sonrt规则

1 Sonrt规则概述 在1998年,Martin Roesch用C语言开发了开放源代码的IDS入侵检测系统Snort。直至今天,Snort已发展成为一个具有多平台、实时流量分析、网络IP数据包记录等特性的强大的网络入侵检测/防御系统,即NIDS/NIPS。当Snort作为NIDS模式运行时,可以分析网络传输的数据包,它发现可疑流量时就会根据事先定义好的规则……

恶意代码技术理论:YARA规则

恶意代码技术理论:YARA规则

官方网址:https://yara.readthedocs.io/ github地址:https://github.com/VirusTotal/yara/releases 1 概述 YARA 是一种旨在(但不限于)帮助恶意软件研究人员识别和分类恶意软件样本的工具。使用 YARA,您可以基于文本或二进制模式创建恶意软件系列(或任何您想描述的内容)的描述。每个……

恶意代码技术理论:加密算法总结

恶意代码技术理论:加密算法总结

1 对称加密 1.1 DES加密算法 DES算法的入口参数有三个:Key、Data、Mode。 其中Key为8个字节共64位,是DES算法的工作密钥; Data也为8个字节64位,是要被加密或被解密的数据; Mode为DES的工作方式,有两种:加密或解密。 1.2 3DES加密算法 3DES是DES加密算法的一种模式,它使用3条64位的密钥对数据进行三次加密……

恶意代码技术理论:信息熵在恶意代码分析中的作用

恶意代码技术理论:信息熵在恶意代码分析中的作用

1 信息与信息熵 信息:在计算机科学中,我们通常认为信息是一种数据或指令的集合,泛指我们通过载体传播的内容。 信息量:对信息的度量,一般用bit。香农对信息量计算公式如下 信息熵:1948年,香农提出了“信息熵”的概念,解决了对信息的量化度量问题,即有多少信息。“信息熵”是香农从热力学“热熵”(表示分子状态混乱程度的物理量)借用过来,熵是形容物质混乱程度的……

恶意代码技术理论:恶意脚本-LNK分析

恶意代码技术理论:恶意脚本-LNK分析

 1. Lnk格式解析 微软原文链接:https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-shllink/16cb4ca1-9339-4d0c-a68d-bf1d6cc0f943 微软文件手册:https://docs.microsoft.com/en-us/openspecs/wi……

恶意代码技术理论:恶意代码分析指南针

恶意代码技术理论:恶意代码分析指南针

基础技能 x86汇编 王爽老师的《汇编语言》 x64汇编 https://bbs.pediy.com/thread-43967.htm https://bbs.pediy.com/thread-44078.htm https://bbs.pediy.com/thread-206780.htm ARM汇编/MIPS汇编/其他汇编 ARM、MIPS架构的恶意样本……

恶意代码技术理论:动静态分析前进行检测

恶意代码技术理论:动静态分析前进行检测

代码相似度 intezer intezer网站提供代码基因检测,检测出相似性:https://analyze.intezer.com/ 该网站提供IDA插件,检测代码相似度 Bindiff 二进制对比,用来检测两份样本相似度,提供IDA插件   判断样本功能 capa Fireeye开发capa用来检测样本功能:https://github.com……

恶意代码技术理论:VB语言恶意代码分析

恶意代码技术理论:VB语言恶意代码分析

Visual Basic Visual Basic(简称VB)是Microsoft公司开发的一种通用的基于对象的程序设计语言,为结构化的、模块化的、面向对象的、包含协助开发环境的事件驱动为机制的可视化程序设计语言。是一种可用于微软自家产品开发的语言。 “Visual” 指的是开发图形用户界面 (GUI) 的方法——不需编写大量代码去描述界面元素的外观和位……

恶意代码技术理论:python语言恶意代码分析

恶意代码技术理论:python语言恶意代码分析

pyinstaller打包成exe –onefile 将结果打包成一个可执行文件 –onedir 将所有结果打包到一个文件夹中,该文件夹包括一个可执行文件和可执行文件执行时需要的依赖文件(默认) –paths=DIR 设置导入路径 –distpath=DIR 设置将打包的结果文件放置的路径 –sp……