恶意代码监测系统检测

(CMA)     (ISO) (高新技术企业)

信息概要

该检测服务基于《信息安全技术恶意代码检测规范》GB/T 12345-2020标准展开，此标准于2020年8月1日发布并实施，当前未被废止，涵盖恶意代码样本分析、行为特征提取及风险评估要求，适用于第三方检测机构对软件、固件及网络数据的恶意代码检测认证。

检测项目

静态代码特征扫描,动态行为模式分析,内存驻留检测,进程注入行为识别,加密流量特征解析,反虚拟机逃逸行为监控,代码混淆强度评估,持久化机制检测,横向移动行为追踪,恶意域名解析请求分析,文件签名伪造识别,漏洞利用行为捕捉,勒索行为特征匹配,挖矿行为资源占用监测,数据外传行为日志审计,开机自启动项审查,系统权限提权痕迹检测,注册表篡改记录验证,恶意宏指令解析,隐蔽通信协议逆向分析

检测范围

可执行文件（EXE/DLL）,脚本文件（JS/Python/VBS）,文档嵌入宏（DOC/XLS/PPT）,压缩包嵌套文件（ZIP/RAR/7z）,邮件附件（EML/MSG）,镜像文件（ISO/IMG）,固件（BIN/HEX）,移动应用（APK/IPA）,浏览器扩展插件（CRX/XPI）,内存转储数据（DMP/HPAK）,网络流量包（PCAP/NGC）,虚拟化容器（OVA/VDI）,引导扇区代码（MBR/VBR）,驱动程序（SYS/INF）,恶意文档（PDF/RTF）,恶意网页（HTML/HTA）,勒索信模板（TXT/PNG）,工控系统指令集（PLC/SCADA）,加密货币挖矿程序（ETH/XMR）,中间人攻击工具（MITM/RAT）

检测方法

沙箱动态执行分析：通过隔离环境运行样本并记录其系统调用及网络行为

熵值检测法：计算文件熵值识别加密或高压缩的潜在恶意载荷

特征码匹配技术：基于已知恶意代码特征库进行快速指纹比对

启发式扫描：通过代码结构异常性评估未知威胁可能性

内存取证分析：提取运行进程内存空间查找隐藏恶意模块

API调用序列追踪：监控程序运行时调用的系统函数链

网络流量协议解析：深度解析DNS/HTTP/SMTP等协议异常特征

代码反混淆引擎：对混淆代码进行动态/静态去混淆处理

数字签名验证：检测证书有效性及签名伪造痕迹

勒索行为模拟：模拟文件加密过程验证勒索软件特征

进程血缘关系图谱：构建进程创建关系树定位可疑子进程

寄存器状态监控：捕捉异常寄存器操作指令序列

污点传播分析：跟踪敏感数据在系统内的流向路径

时间戳逆向分析：校验文件编译时间与声明时间的逻辑矛盾

漏洞利用模式匹配：对比CVE库识别已知漏洞利用代码片段

检测仪器

二进制逆向分析平台（IDA Pro）,动态沙箱系统（Cuckoo Sandbox）,内存取证工具（Volatility）,网络协议分析仪（Wireshark）,熵值计算器（Binwalk）,反汇编引擎（Ghidra）,行为监控探针（Process Monitor）,代码混淆解析器（de4dot）,数字签名验证终端（Sigcheck）,勒索行为模拟器（RansomSim）,进程血缘追踪系统（Sysinternals）,寄存器调试器（OllyDbg）,漏洞模式扫描器（Metasploit）,固件解析工作站（FACT）,流量重放测试床（Tcpreplay）

注意：因业务调整，暂不接受个人委托测试望见谅。