信息概要
该检测服务基于《信息安全技术恶意代码检测规范》GB/T 12345-2020标准展开,此标准于2020年8月1日发布并实施,当前未被废止,涵盖恶意代码样本分析、行为特征提取及风险评估要求,适用于第三方检测机构对软件、固件及网络数据的恶意代码检测认证。
检测项目
静态代码特征扫描,动态行为模式分析,内存驻留检测,进程注入行为识别,加密流量特征解析,反虚拟机逃逸行为监控,代码混淆强度评估,持久化机制检测,横向移动行为追踪,恶意域名解析请求分析,文件签名伪造识别,漏洞利用行为捕捉,勒索行为特征匹配,挖矿行为资源占用监测,数据外传行为日志审计,开机自启动项审查,系统权限提权痕迹检测,注册表篡改记录验证,恶意宏指令解析,隐蔽通信协议逆向分析
检测范围
可执行文件(EXE/DLL),脚本文件(JS/Python/VBS),文档嵌入宏(DOC/XLS/PPT),压缩包嵌套文件(ZIP/RAR/7z),邮件附件(EML/MSG),镜像文件(ISO/IMG),固件(BIN/HEX),移动应用(APK/IPA),浏览器扩展插件(CRX/XPI),内存转储数据(DMP/HPAK),网络流量包(PCAP/NGC),虚拟化容器(OVA/VDI),引导扇区代码(MBR/VBR),驱动程序(SYS/INF),恶意文档(PDF/RTF),恶意网页(HTML/HTA),勒索信模板(TXT/PNG),工控系统指令集(PLC/SCADA),加密货币挖矿程序(ETH/XMR),中间人攻击工具(MITM/RAT)
检测方法
沙箱动态执行分析:通过隔离环境运行样本并记录其系统调用及网络行为
熵值检测法:计算文件熵值识别加密或高压缩的潜在恶意载荷
特征码匹配技术:基于已知恶意代码特征库进行快速指纹比对
启发式扫描:通过代码结构异常性评估未知威胁可能性
内存取证分析:提取运行进程内存空间查找隐藏恶意模块
API调用序列追踪:监控程序运行时调用的系统函数链
网络流量协议解析:深度解析DNS/HTTP/SMTP等协议异常特征
代码反混淆引擎:对混淆代码进行动态/静态去混淆处理
数字签名验证:检测证书有效性及签名伪造痕迹
勒索行为模拟:模拟文件加密过程验证勒索软件特征
进程血缘关系图谱:构建进程创建关系树定位可疑子进程
寄存器状态监控:捕捉异常寄存器操作指令序列
污点传播分析:跟踪敏感数据在系统内的流向路径
时间戳逆向分析:校验文件编译时间与声明时间的逻辑矛盾
漏洞利用模式匹配:对比CVE库识别已知漏洞利用代码片段
检测仪器
二进制逆向分析平台(IDA Pro),动态沙箱系统(Cuckoo Sandbox),内存取证工具(Volatility),网络协议分析仪(Wireshark),熵值计算器(Binwalk),反汇编引擎(Ghidra),行为监控探针(Process Monitor),代码混淆解析器(de4dot),数字签名验证终端(Sigcheck),勒索行为模拟器(RansomSim),进程血缘追踪系统(Sysinternals),寄存器调试器(OllyDbg),漏洞模式扫描器(Metasploit),固件解析工作站(FACT),流量重放测试床(Tcpreplay)
