[分析引擎开发笔记]漏洞攻击检测

2013-12-14 Nie.Meining Life

分析引擎的细粒度监控特性使其具备了控制流完整性校验的能力,对于代码注入、ROP、Heap Spray等常见攻击方法实现了检测,效果还不错。

1111111.png3333333.png

评论(0) 浏览(374)

[分析引擎开发笔记]样本上传功能

2013-12-14 Nie.Meining Life

对于Android系统,处理方法比较简单,上传样本直接用adb装进去即可。

2.7版截图_上传样本_android22.png

对于Windows,采用光驱的方式以只读形式置入。

2.7版截图_上传样本2_winxp.png2.7版截图_上传样本4_winxp.png

评论(0) 浏览(468)

[分析引擎开发笔记]监控数据呈现

2013-12-14 Nie.Meining Life

由于分析引擎监控条目非常多,需要展现的数据有的是ASCII编码、有的是UNICODE编码,我也没有精力去一个个指定,因此在展示之前调用了一个xxx函数来识别编码格式。不过由于xxx函数是基于统计学的方法猜的,实践证明猜得也不是很准啊……后期得改进一下。

对于API的情况,可以先用xxxA、xxxW、NtXXX等特征初步划分一下,然后再xxx,就准确多了。

aaaaaaa.png

评论(0) 浏览(475)

[分析引擎开发笔记]自动测试

2013-12-14 Nie.Meining Life

目前分析引擎提供的无交互自动分析服务结合了一些简单的自动测试功能,包括胡乱随机点击鼠标、键盘等、模拟U盘插入拔出等。感觉还是不够,尤其是针对一些有UI的样本,还需要加强人工操作模拟。

Android方面目的性更明确一些,模拟一些短信、电话、GPS之类的通常都能触发样本行为了。

2.7版截图_远程桌面2_android22.png2.7版截图_行为监控记录4_android22.png

评论(0) 浏览(435)

[分析引擎开发笔记]关于分析引擎

2013-12-10 Nie.Meining Life

整整一年没写博客了,主要是因为各种项目忙不过来,尤其是“TCA软件动态分析云平台”,这是我投入精力最多的一个项目。

该平台的核心是一个恶意代码动态分析引擎,其基本原理与FireEye类似,采用硬件虚拟化技术模拟多种硬件环境和操作系统,并从虚拟硬件采集原始数据,对虚拟操作系统本身以及在其中运行的分析目标展开细粒度分析,以此提取目标行为细节和实现机理。

该引擎开放自己的输入输出接口协议用于分析数据采集、分析命令获取和分析结果输出,因此可以灵活应用到多种服务模式中(批量自动分析模式,或有分析人员交互的深度分析模式等),或者与现有的IDS、流量采集设备等整合,用作APT攻击检测防范。

apt_detection_scheme2.jpg

为方便大家测试,我们搭建了一个demo服务,欢迎大家试用,并提出宝贵意见:http://tcasoft.com/。我也逐渐会在博客中跟大家分享一些开发过程中的心得。

评论(0) 浏览(750)

Powered by emlog