【原创】恶意代码处理流程简介
本帖最后由 hellotong88 于 2015-5-22 18:17 编辑这篇文章根据个人的所知、经验推理而来,说的不对的地方欢迎指正。
样本来源厂商交换:这个很好理解,比如McAfee和Symantec相互交换样本,VirusTotal给各杀毒厂商提供样本。客户端上传:比如360的“云安全计划”,360客户端会将可疑的文件上传并分析。用户提交:用户发现可疑文件,主动提交给安全厂商。蜜罐诱捕:安全厂商布置许多联网的、有漏洞的设备等待被感染病毒,然后捕获。诱饵信箱:厂商将邮箱散布到互联网上,被黑客收集后,邮箱就会收到恶意文件。爬虫下载:用爬虫从互联网上下载可疑文件。网络流量重组还原:这个比较高大上,监控网络流量,并把可疑的数据包重组还原成文件。比如把所有经过动态域名“3322.org”传输的PE文件还原出来作为样本。
虚拟机自动化分析、信息采集这个就是把收集到的样本投放到虚拟机中运行并生成报告,然后将这些样本信息放入“样本信息库”。整个过程是自动化的。这种系统对外公开的有:VirusTotal、VirScan、金山火眼、腾讯哈勃、瀚海原文件B超等等,很多。还有一个开源的“http://www.cuckoosandbox.org”,感兴趣的可以看一下这套系统的展示网站“https://malwr.com”。
人工分析依靠病毒分析工程师的经验与技术,从海量的未知样本发现可疑文件并分析之。如果是恶意代码,就更新病毒特征库,使杀毒软件能够查杀此种病毒。在与恶意代码的对抗中,根据新的威胁完善杀毒引擎。
我被标题骗了,我以为是恶意代码怎么生成的。汗。 思路值得借鉴。 现在安全厂商差不多就这思路。 支持楼主 学习了
页:
[1]