前期准备环境准备主要就是Android开发的环境,详细的可以参考非充老师白皮书第一章,其中包含了Win、Linux环境,如果需要mac环境配置可以自行检索,或者公众号留言,我们会在后期文章中专门增加一篇。工具准备反编译工具1、apktool2、jeb3、jadx4、GDA样本获取网站koodousappscan在线查杀检测工具FileLine静态代码检测:火线|FireLine|静态代码检测腾讯移动安全实验室:在线查毒-安全实验室-腾讯手机管家官方网站deguard:DeGuard|StatisticalDeobfuscationforAndroid魔盾安全分析:恶意软件分析&URL链接扫描免
今天我们来用最近比较火的“ChatGPT”学习一下Android病毒分析基础,看看和我们之前学的有什么不同,又能学习到什么新的东西,同时了解一下“ChatGPT”提问的一些精髓。和我们之前的“Android病毒分析基础(一)”一样,我们先看一下环境搭建、工具使用、在线查杀、病毒分析方法以及特征提取等问题。以下各项均是“ChatGPT”回答,本人只做了些许删减。如何便捷的使用ChatGPT在ChatGPT火了没多久,很多大佬就相继开发出了很多插件,包括了浏览器插件、MAC菜单栏程序、国内镜像接口等便捷的插件。浏览器插件项目地址:https://github.com/wong2/chat-gpt-
今天我们来用最近比较火的“ChatGPT”学习一下Android病毒分析基础,看看和我们之前学的有什么不同,又能学习到什么新的东西,同时了解一下“ChatGPT”提问的一些精髓。和我们之前的“Android病毒分析基础(一)”一样,我们先看一下环境搭建、工具使用、在线查杀、病毒分析方法以及特征提取等问题。以下各项均是“ChatGPT”回答,本人只做了些许删减。如何便捷的使用ChatGPT在ChatGPT火了没多久,很多大佬就相继开发出了很多插件,包括了浏览器插件、MAC菜单栏程序、国内镜像接口等便捷的插件。浏览器插件项目地址:https://github.com/wong2/chat-gpt-
将以下代码复制到文本文档中,保存后修改文件后缀名称为.bat,打开该文件就可以看到效果了;@color4f@echooffecho删除计算机的C盘的所有文件......ping-n2127.1>nulecho已删除完毕echo.echo删除计算机的D盘的所有文件......ping-n2127.1>nulecho已删除完毕echo.echo.echo删除计算机的E盘的所有文件......ping-n2127.1>nulecho已删除完毕@colorecho.echo.=================================echo.木马制造者:Schiebero(∩_∩)o...ec
将以下代码复制到文本文档中,保存后修改文件后缀名称为.bat,打开该文件就可以看到效果了;@color4f@echooffecho删除计算机的C盘的所有文件......ping-n2127.1>nulecho已删除完毕echo.echo删除计算机的D盘的所有文件......ping-n2127.1>nulecho已删除完毕echo.echo.echo删除计算机的E盘的所有文件......ping-n2127.1>nulecho已删除完毕@colorecho.echo.=================================echo.木马制造者:Schiebero(∩_∩)o...ec
前言内存木马,就是在内存中运行的木马病毒,没有代码实体。内存木马有着强隐蔽性,排查困难,杀不死(俗称不死马)的特点。网络安全行业,有着很强的木桶效应。系统对抗黑帽,胜负取决于安全最薄弱的环节。黑帽对抗白帽,胜负取决于攻击水平和和毁尸灭迹隐蔽的水平。正文本文不讨论是由于任意文件上传还是近源攻击让生产服务器有了一段可访问的恶意代码。病毒源代码(很简单)释放病毒本体说明以上关键敏感代码都做了编码,用于避开各种安全扫描的免杀。一旦病毒样本运行起来,就会删除掉自身,并长期运行在内存当中。就算被释放的木马被识破后删除,还会产生同样的文件。解决方案干掉进程后,删除释放的木马文件。
前言内存木马,就是在内存中运行的木马病毒,没有代码实体。内存木马有着强隐蔽性,排查困难,杀不死(俗称不死马)的特点。网络安全行业,有着很强的木桶效应。系统对抗黑帽,胜负取决于安全最薄弱的环节。黑帽对抗白帽,胜负取决于攻击水平和和毁尸灭迹隐蔽的水平。正文本文不讨论是由于任意文件上传还是近源攻击让生产服务器有了一段可访问的恶意代码。病毒源代码(很简单)释放病毒本体说明以上关键敏感代码都做了编码,用于避开各种安全扫描的免杀。一旦病毒样本运行起来,就会删除掉自身,并长期运行在内存当中。就算被释放的木马被识破后删除,还会产生同样的文件。解决方案干掉进程后,删除释放的木马文件。
2022壬寅年,病毒和战争齐飞,流言和混乱四起。2023届秋招的残酷已不需要再多说,各大平台校招社招一片哀嚎,如果说往年的各种帖子是在贩卖焦虑,今年就是实打实的就业寒冬。先来看段分析,来自阮一峰大佬:因此我猜想,马斯克决定裁一半人,是参考了高速增长结束前的员工规模。这也意味着,即使推特少了一半员工,肯定还能正常运作,因为以前就是这么多人。如果再往前推,2010年初,推特只有130个员工,活跃用户是3000万。现在,用户数是那时的十多倍,而130个员工的十多倍,正好接近7500人裁员75%。这是巧合吗?事实上,即使裁员75%,跟其他一些公司相比,推特的员工还是偏多的。一个极端的例子是,脸书收购I
2022壬寅年,病毒和战争齐飞,流言和混乱四起。2023届秋招的残酷已不需要再多说,各大平台校招社招一片哀嚎,如果说往年的各种帖子是在贩卖焦虑,今年就是实打实的就业寒冬。先来看段分析,来自阮一峰大佬:因此我猜想,马斯克决定裁一半人,是参考了高速增长结束前的员工规模。这也意味着,即使推特少了一半员工,肯定还能正常运作,因为以前就是这么多人。如果再往前推,2010年初,推特只有130个员工,活跃用户是3000万。现在,用户数是那时的十多倍,而130个员工的十多倍,正好接近7500人裁员75%。这是巧合吗?事实上,即使裁员75%,跟其他一些公司相比,推特的员工还是偏多的。一个极端的例子是,脸书收购I
开发的软件安装后,windows上提示病毒,默默被系统删除了。一开始以为是自己软件的签名问题,后面发现,将被隔离的文件还原,文件的签名是存在的。这是微软denfender的误报,为啥会报病毒呢?emmm,这个Entry.exe是作为应用版本的启动入口。启动了太多的应用,就被安全中心识别成流氓了。。。研究了下,加下Defender的排除项,能解决这个问题 Add-MpPreference(Defender)|MicrosoftLearn以管理员身份启动PowerShell,执行Add-MpPreference-ExclusionPath"C:\ProgramFiles\H3CMagic" 就能看
