问题标签 [malware-detection]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票
1 回答
569 浏览

javascript - 在我的网站上检测添加恶意软件的广告

我最近在我的网站上做了一种“公共服务公告”,告诉人们网站上只有一个广告,并且整齐地放置在网站的设计中。

我这样做是因为有人报告该网站“无法正常工作”,当被要求提供问题的屏幕截图时,向我提供了以下信息:

充满广告的屏幕截图 http://ezimba.com/work/140308C/ezimba19743774066600.png

进一步调查显示该问题是一个名为“HD Streamer”的恶意扩展。

一般来说,一旦确定问题是广告软件,我会将它们指向 MalwareBytes 并说“这是你的问题,而不是我的问题,我现在需要回去工作”。

这总体上很好,有些人已经学会教育有类似问题的其他用户。然而,并不是每个人都会阅读其他人提出的问题(否则我们在这里不需要“关闭为重复项”,现在可以吗?;))

无论如何,切入正题。是否有任何可靠的方法来检测通过 JavaScript 在我的网站上插入此类额外广告?

如果我能自动检测到这种......“劫持”,我可以插入一个我自己的盒子说“嘿,你有广告软件,可能应该清理它!” ...'当然,一些恶意软件广告将自己伪装成“你有病毒,点击这里修复”框,所以我必须确保让它明显成为网站设计的一部分(颜色,也许它的样式为一个对话泡泡,属于该网站的一个角色,上面有 NPC 的名字,类似的东西),但我认为这比仅仅将他们视为无法保持计算机清洁的人更有用。

0 投票
1 回答
152 浏览

javascript - 识别是否发生代码注入(JollyWallet 等)

如果在页面加载时发生代码注入,我们希望提醒用户。我们遇到了 JollyWallet 注入代码并导致 SCRIPT 块保持打开状态的问题。当然,我们的代码在那个 SCRIPT 块中。

这是我们在原版中所拥有的

这是注入的内容:

理想情况下,我们希望在用户登录我们的网站时提醒用户该 PUP 的存在。或者,我们希望停止对受影响页面的注入。

有谁知道可以在页面加载结束时运行的可以识别代码注入的测试?

0 投票
1 回答
1063 浏览

powershell - Cryptolocker 蜜罐 FileSystemWatcher

我是脚本新手,所以请多多包涵。我正在尝试创建一个脚本来监视添加到服务器上所有文件共享的诱饵文件。当脚本看到文件被修改时,它将阻止对进行修改的用户的访问并发送电子邮件。除了 FileSystemWatcher 之外,该脚本似乎工作正常。它只会监控最后一个共享。我在这里看到了类似的帖子,但对答案感到困惑。有人可以帮我完成为每个诱饵文件创建 FileSystemWatcher 的任务吗?我还想了解如何以其他方式改进脚本。非常感谢您的帮助。

0 投票
3 回答
2694 浏览

python - 是否可以在 Python 中实现启发式病毒扫描?

我正在尝试在 Python 中创建病毒扫描程序,并且我知道基于签名的检测是可能的,但是在 Python 中基于启发式的检测是可能的,即。在安全的环境中运行程序,或者扫描程序的代码,或者检查程序的行为,然后确定程序是否是病毒。

0 投票
0 回答
41 浏览

binary - 二进制(可执行)指令和执行指令有什么关系

我想知道的是二进制指令和二进制执行指令之间有什么相似之处或可能有区别吗?在其他世界中,在恶意软件分析领域,可以在静态和动态分析中检查二进制文件。在静态中,它的指令将在不执行的情况下被提取,而在动态中,指令将在执行二进制文件期间被提取。这两个指令输出之间有什么相似之处吗?

0 投票
1 回答
1495 浏览

malware - 不知道如何找到 DllMain 的地址?

我是分析恶意软件的新手。我已经安装了 IDA pro 来分析名为 LAb-5 01.dll 的恶意软件。我一进入就加载了 .dll 文件。但我不知道如何找到 dllMain 的地址。任何帮助将不胜感激。

0 投票
1 回答
119 浏览

apache - CentOS 上的恶意软件

我收到了来自 Spamhouse 的滥用信息,内容如下:

此 IP 地址的主机当前正用于分发恶意软件。

恶意软件分布在这里: http://xxx.xx.xx.xxx:8080/get/ get.php

其中http://xxx.xx.xx.xxx是我们的域名。

我们发现任何对 8080 端口的请求都会返回恶意软件。我们在服务器上使用 Apache 2。但是现在端口 8080 上有任何设置。只是在寻找如何修复该错误的想法?目前我们关闭了 8080 端口。但是里面仍然有一些恶意软件。将不胜感激任何建议。

0 投票
2 回答
743 浏览

javascript - 检测恶意软件是否正在篡改网站

有没有办法检测 HTML DOM 是否被最终用户系统上的恶意软件修改?我有一个受 HTTPS 保护的网站,最近遇到了一个支持电话,用户在我的网站上看到广告。我的网站上没有广告,我们最终在最终用户的系统上运行了反病毒扫描,发现并清除了许多感染,之后广告就消失了。不幸的是,我无法提供任何代码示例,因为我什至不知道从哪里开始。

0 投票
2 回答
618 浏览

google-api - google安全浏览api url编码(规范化)

在我的应用程序中,我通过将用户输入的 URL 发送到谷歌来检查它们是否存在恶意软件。

为了测试“发现恶意软件”的反应,我使用了网址http://malware.testing.google.test/testing/malware

令我惊讶的是,这个网址没有被标记为恶意软件

在摆弄时,我发现当我输入一个斜杠时,它确实被认为是恶意软件。

文档中,它说 URL 需要被规范化。

你们中有人知道这个要求的实现吗?(最好在 C# 中)

0 投票
2 回答
240 浏览

windows - 确定 exe/dll 文件的来源国

我有一个疑问,至于如何得出 exe/dll 来自特定国家的结论?PE 结构中是否有保存此信息的字段?

我知道这样的信息(时间戳等)可以被覆盖,并且没有办法可以 100% 确定,但仍然......在大多数恶意样本的分析报告中总是有这样的声明,比如“这个样本似乎起源于 xyz 国家”。

我想要一个没有工具作为解决方案的答案。