當(dāng)下軟件園 / 匯聚當(dāng)下最新最酷的軟件下載站!
當(dāng)下軟件園
您的位置: 首頁 > 應(yīng)用軟件 > 編程工具 > 惡意代碼檢測分析工具 V3.4.0 最新版
惡意代碼檢測分析工具 惡意代碼檢測分析工具 V3.4.0 最新版 / 惡意代碼檢測分析工具 版本
  • 軟件大?。?/span>4.83M
  • 軟件語言:簡體中文
  • 軟件類型:國產(chǎn)軟件
  • 軟件授權(quán):免費(fèi)軟件
  • 更新時(shí)間:2016-02-26
  • 軟件類別:編程工具
  • 軟件官網(wǎng):http://virtualinsta360.com
  • 應(yīng)用平臺:Win2003,WinXP,Vista,Win7,Win8

網(wǎng)友評分: 分?jǐn)?shù) 9.6

軟件非常好(100% 軟件不好用(0%

  惡意代碼檢測分析工具是一款非常專業(yè)的代碼檢測軟件。通過這款惡意代碼檢測分析工具,就能幫助用戶隨意進(jìn)行代碼安全檢測,讓你日常放心進(jìn)行編程使用。

檢測平臺:

  YARA支持多平臺,可以運(yùn)行在Windows、Linux、Mac OS X,并通過命令行界面或yara-python擴(kuò)展的Python腳本使用。

功能介紹:

  垃圾郵件分析
  讓我們看一下垃圾郵件分析的應(yīng)用場景。如果你的團(tuán)隊(duì)需要在事件響應(yīng)過程中分析可疑的郵件消息,你極有可能會發(fā)現(xiàn)攜帶惡意宏的文件或重定向至漏洞利用工具的站點(diǎn)。olevba.py是一款流行的分析可疑微軟office文檔的工具,它屬于oletools工具包的一部分。當(dāng)分析嵌入的OLE對象來識別惡意活動時(shí),它會使用YARA功能(更多內(nèi)容可參看)。在應(yīng)對漏洞利用工具時(shí),thug一款流行的低交互式蜜罐客戶端,模擬成web瀏覽器,也會使用YARA來識別漏洞利用工具家族。在上述兩種場景中,事件響應(yīng)團(tuán)隊(duì)之間交換YARA規(guī)則可以大大增強(qiáng)垃圾郵件的分類和分析的能力。
  取證分析
  另一種值得一提的應(yīng)用場景是取證。Volatility一款非常流行的內(nèi)存取證工具,可以支持YARA掃描來查明可疑的對象,比如進(jìn)程、文件、注冊表鍵值或互斥體(mutex)。相對于靜態(tài)文件的規(guī)則,因?yàn)樗枰獞?yīng)對加殼器和加密器,分析內(nèi)存對象的YARA規(guī)則通常可以獲得更廣的觀察范圍。在網(wǎng)絡(luò)取證領(lǐng)域,yaraPcap使用YARA掃描網(wǎng)絡(luò)數(shù)據(jù)包文件(PCAP)。類似于垃圾郵件分析的應(yīng)用場景,使用YARA規(guī)則進(jìn)行取證可以起到事半功倍的作用。
  終端掃描
  最終,還有值得留意的應(yīng)用場景是端點(diǎn)掃描。不錯,在客戶端計(jì)算機(jī)上進(jìn)行YARA掃描。由于YARA掃描引擎是跨平臺的,我們完全可以在Windows系統(tǒng)上使用Linux系統(tǒng)上開發(fā)的特征規(guī)則。唯一需要解決的問題是如何分發(fā)掃描引擎,下發(fā)規(guī)則,以及將掃描結(jié)果發(fā)送到某個中心位置。Hipara,一款C語言開發(fā)的主機(jī)入侵防御系統(tǒng),可以實(shí)現(xiàn)基于YARA規(guī)則文件的實(shí)時(shí)掃描,并將報(bào)告結(jié)果發(fā)回到某個中心服務(wù)器。另一種解決方案是自己編寫python腳本來調(diào)用YARA模塊,同時(shí)使用REST庫實(shí)現(xiàn)推拉(pull/push)的操作。

使用方法:

  惡意代碼檢測分析工具
  1、環(huán)境準(zhǔn)備
  在實(shí)戰(zhàn)之前,我們需要一個Linux系統(tǒng)環(huán)境和下列工具:
  需要用到:pescanner.py
  此外你需要一個段惡意代碼來分析,你可以從Malwr.com網(wǎng)站上獲取樣本:
  警告:樣本是一個真實(shí)的惡意軟件,確保分析是在可控、隔離和安全環(huán)境中進(jìn)行,比如臨時(shí)性的虛擬機(jī)。
  2、場景模擬
  在周三下午4點(diǎn),你的郵箱接受到一份事件報(bào)告的通知郵件。它似乎是一個可疑的HTTP文件下載(文件哈希值為f38b0f94694ae861175436fcb3981061)命中了網(wǎng)絡(luò)IPS的特征庫。你迅速檢查IPS報(bào)警的詳情,查看它是否把樣本存入待深入分析的臨時(shí)倉庫中。你可以發(fā)現(xiàn)文件已被成功的保存下來,且文件類型是PE(可執(zhí)行文件),絕對值得一看。下載文件之后,你需要進(jìn)行初始的靜態(tài)分析:利用Google和Virustotal查詢這個哈希值,分析PE文件頭來尋找惡意的企圖。
  3、挑戰(zhàn)
  創(chuàng)建匹配下述條件的YARA規(guī)則:
  1. 與調(diào)試信息相關(guān)的可疑字符串
  2. text區(qū)塊的MD5哈希值
  3. 高熵值的。rsrc區(qū)塊
  4. GetTickCount導(dǎo)入符號
  5. Rich簽名的XOR密鑰
  6. 必須是Windows可執(zhí)行文件

軟件特別說明

標(biāo)簽: 代碼檢測 代碼分析

其他版本下載

更多(9)>代碼分析工具

代碼分析工具是一類可以自動執(zhí)行代碼分析,快速定位代碼隱藏錯誤和缺陷的軟件,減少代碼檢查的時(shí)間,提高軟件穩(wěn)定性和降低開發(fā)成本。 查看 >>
相關(guān)文章
網(wǎng)友評論
回頂部 去下載

關(guān)于本站|下載幫助|下載聲明|軟件發(fā)布|聯(lián)系我們

Copyright ? 2005-2024 virtualinsta360.com.All rights reserved.

浙ICP備06019006號-1 浙公網(wǎng)安備33038102330474號