WannaCry勒索软件分析

2017-5-14 Nie.Meining Debug

大家都知道,昨天WannaCry勒索软件在一夜之间利用系统漏洞席卷全球,特别是在内网和专网中,通过攻击445端口(蠕虫性质)大肆传播,造成了巨大数据损失。我也凑个热闹,找到一批样本上传金刚分析系统(http://tcasoft.com/),看看效果。

其中比较典型的分为两类,一类就是昨天大家新闻中看到的,访问某个超长的域名,如果存在就放弃攻击。如图:

2.png

1.png

其实这个“域名开关”并不完全可以保平安。还有一类样本一上来就搞破坏,并不会探测域名。如某样本的分析报告:

http://tcasoft.com/tcaCloudPlatform/report/toViewReport.action?rid=22bfa9109ab9d405af4188867620c730&sk=60036875

下面对该报告简单解读。

阅读全文>>

评论(725) 浏览(26210)

[分析引擎开发笔记]64位系统支持

2017-4-14 Nie.Meining Life

这两天为分析引擎(http://tcasoft.com/)提供了64位系统支持,上传样本时可以选择64位环境了:

64up.png


其实Windows系统64位和32位的内核数据结构差异并不大,只是变量具体偏移、具体长度方面的变化,所以对于API等上层行为的监控来讲比较容易实现,反而是Shellcode检测、漏洞攻击检测等指令分析方面的差异很大,还需要不断优化。

阅读全文>>

评论(5728) 浏览(104675)

分析平台再次升级

2017-3-31 Nie.Meining Life

其实中途已经更新过好几个版本了,只是人老了比较懒,一直没更新日志,猛然一看上一篇日志居然是两年前写的……

这期间其实发生了不少事,比如N个项目开发,比如发表论文和撰写专利,以及历尽千辛万苦累感不爱终于毕业了……

废话不多说,新版分析系统更新内容包括检测项目增加、检测能力加强、匹配规则优化等多个方面。

访问地址依旧:http://tcasoft.com/,欢迎大家测试并提出宝贵意见!

--------------------------------------------------------------------------------------------------

另外分享一些比较有意思的恶意代码分析报告,有新有旧:

[java样本] 最近捕获到的java样本越来越多,这是一种新的趋势吗?

http://tcasoft.com/tcaCloudPlatform/report/toViewReport.action?rid=d97eded86dcd31b357e511b3df61029e

比较有意思的是,自己本来就是个java,还要再释放一个vbs,虽然vbs查询WMI的确挺方便:

1111.png

阅读全文>>

评论(621) 浏览(23537)

分析平台升级

2015-3-12 Nie.Meining Life

分析平台地址:http://www.tcasoft.com/

升级日志:

1. 硬件升级

1.1 分析平台原来用的CPU是1.8GHz的,勒紧裤腰带买了颗2.6GHz+的换上;

2. 功能升级

2.1 增加新的检测项目,包括控制流异常、可疑堆喷射等;

1.png

阅读全文>>

评论(852) 浏览(59858)

initializer-list-constructor in vc11(Visual Studio 2012)

2014-11-19 Nie.Meining Life

As we all know that C++11 has been added some amazing features, among which the initializer-list-constructor definitely makes our coding-lives easier. But today when compiling some code on VC11, I encountered a strange problem. The compiler complained that the header file <initializer_list> could not be found. It's very confusing. Then I searched the Internet, found this RIDICULOUS answer from Microsoft development:
4.png
"We've fixed it by deleting <initializer_list> from VC11."
Oh! Thank you so much! Your solution is perfect! Hahaha...

评论(706) 浏览(49434)

Powered by emlog