恶意软件自动化分析

我要开发同款
控心monster2024年11月22日
359阅读

作品详情

1.首先利用python的tkinter库创建gui界面,实现可视化的点击操作。设计出两个基于python开发的exe程序,一个称为主控端,一个称为被控端。方便主机对虚拟机的控制。

2.主控端(电脑主机)利用socket向虚拟机的被控端传输恶意软件,被控端(即虚拟机)接受恶意软件并运行,同时运行fakenet捕捉恶意软件的流量特征,将流量报告生成后发送到主控端。同时被控端利用虚拟机快照进行还原,完全清除恶意软件的记录,再来接受主控端发送来的下一个恶意软件。

3.主控端接受到流量报告后,利用wireshark的tshark将报告转换为txt格式,再利用python读取改txt格式的报告筛选出恶意软件运行后进行的流量聚类,把tcp、udp、ftp等流量类型进行分类整理,并得到访问的域名或者ip,主控端会对域名进行nslookup,观测域名是否在正常运行。如果域名正常运行或者得到ip,主控端便会向用户发出警告,从而让用户注意该软件,并给出其访问的网址(这样做的目的是防止软件访问自身的官网等网站而被报告)。并且直接生成对该网站的ids检测规则,企业用户可以直接将其配置到snort ids中,拦截公司内部在此之后向该网站的请求。

4.在生成针对每一个软件的特定规则后,powerscan会自动整合这些规则生成通用一般规则,通用规则能够有效的防止相同类型的恶意请求变种。并且生成通用的ids规则,能够拦截更大范围的恶意请求
声明:本文仅代表作者观点,不代表本站立场。如果侵犯到您的合法权益,请联系我们删除侵权资源!如果遇到资源链接失效,请您通过评论或工单的方式通知管理员。未经允许,不得转载,本站所有资源文章禁止商业使用运营!
下载安装【程序员客栈】APP
实时对接需求、及时收发消息、丰富的开放项目需求、随时随地查看项目状态

评论