问题标签 [malware-detection]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票
1 回答
203 浏览

security - 用于分析加载到内存中的可移植可执行文件的工具

有很多工具旨在帮助分析可移植的可执行文件。例如 PE 资源管理器。我们可以将.exe文件加载到其中并检查诸如节数、节对齐或特定节的虚拟地址之类的内容。

是否有任何类似的工具可以让我做同样的事情,但对于已经加载到内存中的可移植可执行文件?无法访问它的.exe文件?

编辑:

也许我会尝试澄清我想要实现的目标。可以说(就像@0x90 建议的那样)我有两个应用程序甚至三个应用程序。

app1.exe - 由用户执行,基于 app3.exe 创建新进程,并通过将 app2.exe 放入其中来修改其内存。

app2.exe - 由 app1.exe 注入 app3.exe 内存。

app3.exe - 用于创建新进程。

我有所有三个应用程序的来源。我只是想通过注入/P​​rocesses Hollowing 的实际练习来了解 Windows 内部结构。我在 app1.exe 中有一些错误,导致:

我正在尝试找到一种方法来调试这种情况。我的想法是将磁盘上的 PE 与内存中的 PE 进行比较,并检查它是否正确。我很惊讶我找不到为这样的提议设计的工具。

0 投票
1 回答
979 浏览

python - 用于从内存中提取配置文件的 Volatility 插件:yara 编译功能后崩溃

我正在尝试编写一个 Volatility 插件来从内存转储中提取恶意软件使用的配置文件。但是,当我在没有 root 权限的情况下运行这个插件(没有“sudo”)时,插件在 yara.compile 行崩溃。如果我使用 'sudo' 运行此插件,则 yara.compile 行之后的代码不会被执行。我不确定为什么 yara.compile 会导致这个问题。有人可以帮我解决这个问题吗?以下是我编写的代码:

因此,当我以 root 权限运行此插件时,我没有看到“print 'after yara compile'”行被执行。可能是什么原因?谢谢你。

0 投票
2 回答
7586 浏览

windows - PE文件格式的基本重定位表是什么?

我正在分析一个可执行文件的格式,我在 中找到了基本重定位表image_optional_header,这个基本重定位表是什么?

0 投票
1 回答
172 浏览

python - 如何检查第 3 方 Python 实用程序库是否存在恶意软件?

我对编程很陌生,我正在尝试找到一种程序或方法来提取所有文件名、工作表名称,并从单个文件夹中的所有 Excel 文件中计算每张工作表的数据行数。到目前为止,我主要使用 Excel 方法,但我也考虑过 VBA 解决方案,但没有运气。

我以为我终于在http://www.basarat.com/2009/07/getting-row-counts-in-all-excel-file-by.html找到了我的解决方案

它看起来像是一个实用程序库,带有一个可以完全解决我的问题的工具,但作者指出它必须在https://code.google.com/p/dexutils/下载

我对 Python 没有任何实际经验,只对 Java 进行了简要介绍,但 Python 不断成为处理统计/数据分析的可接受工具(由于最近的职业变化,我需要掌握该工具)。所以它在我的学习清单上。我认为这是将脚趾浸入蟒蛇水中的好方法。

但后来我看到该实用程序的博客条目和下载页面没有评论和评级。我怎么知道下载该文件不会使我的计算机暴露于恶意软件?这是一台公司的计算机,我想在可预见的将来保留这份工作。下载恶意软件无法做到这一点。

我知道这听起来有点偏执,但我认为在安全方面,安全总比抱歉好。有没有办法检查这样的文件是否有恶意软件或确认它只是在做它声称的事情(即,没有在后台运行邪恶的东西或弄乱注册表等)?我试图在谷歌和这个网站上找到答案的时间比我愿意承认的要长,但我只是对计算机安全或 Python 编程知之甚少,无法知道我是安全的。

请慢慢说,用小词。:-P 或者只是给我来源的链接。

0 投票
2 回答
900 浏览

google-chrome - 在 Chrome 中下载 Clickonce 应用程序被标记为恶意文件

Google Chrome 44 到 45 的最新更新似乎正在阻止 clickonce 应用程序。

我们的 clickonce 应用程序运行良好,并且已投入生产超过数周。今天早上,我们收到报告称,当用户尝试下载我们的应用程序时,它会直接出现在“下载”选项卡中,并显示以下消息:“[...].application 可能会损害您的浏览体验,因此 Chrome 已阻止它。恢复恶意文件”。单击该消息后,将显示一个确认对话框,如果被接受,用户可以下载应用程序文件。

是否有其他人对他们的 clickonce 应用程序有相同的体验,你知道如何解决它吗?

感谢您的任何想法/帮助!

(遗憾的是,我没有足够的声誉来发布图片,对此感到抱歉)

伊利亚

0 投票
0 回答
55 浏览

javascript - 防止恶意软件广告在移动网站上重定向

我的移动网站上存在恶意广告问题,它会将用户重定向到应用商店。主要在 android 浏览器和 Safari for iOS 上。

有没有办法阻止重定向,例如使用 javascript ?也许某些带有 preventDefault() 函数的事件?

0 投票
2 回答
5746 浏览

php - 我网站上的 jQuery.min.php 恶意软件

寻求熟悉 jquery Malware 的任何人的帮助。我在我的 WordPress 网站中感染了注入脚本,每次我从 Header.php 中删除注入代码 24 小时后,它都会将它的修改版本注入到我的托管服务器上的 Header.php 文件中。

快把我逼疯了。该站点是 www.icrsolutions.co.uk,脚本如下:

0 投票
1 回答
2389 浏览

android - 从 APK 中提取 API 调用

我如何从 APK 中提取 API 调用/系统调用序列?我已经从 APK 反编译了源代码,现在我想知道是否有一个工具可以从源代码中提取该应用程序进行的所有系统调用。

0 投票
1 回答
28 浏览

php - 在 Wordpress 页脚上生成的神秘标记

我最近建立的一个 Wordpress 网站有一个奇怪的问题,当用户通过搜索引擎(通常是谷歌)访问该网站的一个页面时,页脚元素内会生成一些奇怪的标记。该标记是链接到不存在的存档页面的日期的无序列表,以及链接到不存在的类别页面的类别的无序列表。

奇怪的是,主题中没有可以生成此标记的代码,更奇怪的是,无序列表中的类别在站点的数据库中不存在。我的第一个想法是,这可能是恶意软件感染的结果,但由于链接不会将用户引导到场外,这似乎不太可能。恶意软件仅在通过搜索引擎访问该站点时才产生问题也很奇怪。

我一直在互联网上寻找这种情况的例子,但还没有找到任何东西,虽然我已经在 WP dev 工作了一年多,但这是我第一次遇到这样的问题。所以,我的问题是:你们中的任何人以前是否遇到过这样的事情,如果是这样,您对问题根源有什么想法吗,和/或您是否有关于如何调试问题的建议?

注意:我已经使用 CSS 隐藏了面向用户的解决方案的标记,所以我正在寻找一个答案来帮助我更可持续地解决问题;即,找到一种方法来消除有问题的标记。

谢谢!!

0 投票
1 回答
198 浏览

sandbox - 在 Cuckoo Sandbox 中注入失败

分析 .doc 文件时出现问题。与杜鹃沙箱。这是布谷鸟日志的链接:https ://img3.picload.org/image/pwarlpp/index.jpeg

如您所见,QueueUserAPC 注入失败,但我不知道为什么。有任何想法吗?

问候