雷火入口,雷火竞技首页,雷火娱乐最新入口

當下軟件園 / 匯聚當下最新最酷的軟件下載站！

排行榜

您的位置：首頁 > 應用軟件 > 編程工具 > 惡意代碼檢測分析工具 V3.4.0 最新版

惡意代碼檢測分析工具 V3.4.0 最新版 / 惡意代碼檢測分析工具版本

軟件大小：4.83M
軟件語言：簡體中文
軟件類型：國產軟件
軟件授權：免費軟件
更新時間：2016-02-26
軟件類別：編程工具
應用平臺：Win2003,WinXP,Vista,Win7,Win8

網友評分： 9.6分

軟件非常好（100%）軟件不好用（0%）

網友評論下載地址收藏該頁

4.83M

相關軟件

　　惡意代碼檢測分析工具是一款非常專業的代碼檢測軟件。通過這款惡意代碼檢測分析工具，就能幫助用戶隨意進行代碼安全檢測，讓你日常放心進行編程使用。

檢測平臺：

　　YARA支持多平臺，可以運行在Windows、Linux、Mac OS X，并通過命令行界面或yara-python擴展的Python腳本使用。

功能介紹：

　　垃圾郵件分析

　　讓我們看一下垃圾郵件分析的應用場景。如果你的團隊需要在事件響應過程中分析可疑的郵件消息，你極有可能會發現攜帶惡意宏的文件或重定向至漏洞利用工具的站點。olevba.py是一款流行的分析可疑微軟office文檔的工具，它屬于oletools工具包的一部分。當分析嵌入的OLE對象來識別惡意活動時，它會使用YARA功能（更多內容可參看）。在應對漏洞利用工具時，thug一款流行的低交互式蜜罐客戶端，模擬成web瀏覽器，也會使用YARA來識別漏洞利用工具家族。在上述兩種場景中，事件響應團隊之間交換YARA規則可以大大增強垃圾郵件的分類和分析的能力。

　　取證分析

　　另一種值得一提的應用場景是取證。Volatility一款非常流行的內存取證工具，可以支持YARA掃描來查明可疑的對象，比如進程、文件、注冊表鍵值或互斥體（mutex）。相對于靜態文件的規則，因為它需要應對加殼器和加密器，分析內存對象的YARA規則通常可以獲得更廣的觀察范圍。在網絡取證領域，yaraPcap使用YARA掃描網絡數據包文件（PCAP）。類似于垃圾郵件分析的應用場景，使用YARA規則進行取證可以起到事半功倍的作用。

　　終端掃描

　　最終，還有值得留意的應用場景是端點掃描。不錯，在客戶端計算機上進行YARA掃描。由于YARA掃描引擎是跨平臺的，我們完全可以在Windows系統上使用Linux系統上開發的特征規則。唯一需要解決的問題是如何分發掃描引擎，下發規則，以及將掃描結果發送到某個中心位置。Hipara，一款C語言開發的主機入侵防御系統，可以實現基于YARA規則文件的實時掃描，并將報告結果發回到某個中心服務器。另一種解決方案是自己編寫python腳本來調用YARA模塊，同時使用REST庫實現推拉（pull/push）的操作。

使用方法：

　　1、環境準備

　　在實戰之前，我們需要一個Linux系統環境和下列工具：

　　需要用到：pescanner.py

　　此外你需要一個段惡意代碼來分析，你可以從Malwr.com網站上獲取樣本：

　　警告：樣本是一個真實的惡意軟件，確保分析是在可控、隔離和安全環境中進行，比如臨時性的虛擬機。

　　2、場景模擬

　　在周三下午4點，你的郵箱接受到一份事件報告的通知郵件。它似乎是一個可疑的HTTP文件下載（文件哈希值為f38b0f94694ae861175436fcb3981061）命中了網絡IPS的特征庫。你迅速檢查IPS報警的詳情，查看它是否把樣本存入待深入分析的臨時倉庫中。你可以發現文件已被成功的保存下來，且文件類型是PE（可執行文件），絕對值得一看。下載文件之后，你需要進行初始的靜態分析：利用Google和Virustotal查詢這個哈希值，分析PE文件頭來尋找惡意的企圖。

　　3、挑戰

　　創建匹配下述條件的YARA規則：

　　1. 與調試信息相關的可疑字符串

　　2. text區塊的MD5哈希值

　　3. 高熵值的。rsrc區塊

　　4. GetTickCount導入符號

　　5. Rich簽名的XOR密鑰

　　6. 必須是Windows可執行文件