新版 McAfee FileInsight

ZDNet软件频道 时间:2009-11-04 作者:Micha Pekrul | ZDNet安全频道 我要评论()
本文关键词:免费 迈克菲 McAfee Windows
今天,我们发布了全新的 2.1 版 McAfee FileInsight。你可以从 Avert 工具站点下载免费版本。FileInsight 是一个适用于网站和文件分析的易用的集成工具环境,具有诸多出色特性:十六进制编辑、内置解码器、内置计算器、反汇编程序、JavaScript 脚本支持、基于 Python 的插件系统等。

今天,我们发布了全新的 2.1 McAfee FileInsight。你可以从 Avert 工具站点下载免费版本。FileInsight 是一个适用于网站和文件分析的易用的集成工具环境,具有诸多出色特性:十六进制编辑、内置解码器、内置计算器、反汇编程序、JavaScript 脚本支持、基于 Python 的插件系统等。

现在,让我们通过剖析一个恶意软件攻击示例的各个阶段,来了解它的一些分析功能但不要在家里尝试这一特技,除非你知道自己要干什么,一个安全、隔离的实验室环境对于开展此类研究工作绝对必要。

上面的截屏图片显示了某个初始的恶意网站,该网站试图控制你的浏览器,将你重新定向到一个或多个攻击威胁。其中之一是利用 Microsoft DirectShow Video ActiveX 控件漏洞 (MS09-032) 实施的攻击(McAfee Virus Scan 将其拦截为 “Exploit-MSDirectShow.b”McAfee Gateway Anti-Malware 将其拦截为 “BehavesLike.Exploit.CodeExec.EBEO”)

要得到实际 Shellcode 需要 JavaScript 解压缩步骤。JavaScript 代码分散在若干个脚本文件中,并可以被自定义编码。在上图显示的界面中,我们将恶意代码放入 FileInsight Scripting 窗口,在该窗口可以对其进行反混淆。

当我们到达 Shellcode 阶段,就可以直接在内置反汇编程序中查看 Shellcode。反汇编程序窗口还具备递归遍历功能,可自动生成递归调用点标识。

它可以执行调出操作 (CALL-to-POP) 以确定混淆载荷的实际内存位置,设置并循环调用来对载荷进行解码,然后执行,一个下载 XOR-混淆的执行程序,该可执行程序产生的最终结果是一个 UPX-压缩的后门程序(McAfee Gateway Anti-Malware 将其拦截为 “LooksLike.Win32.Suspicious.C”)

高级用户还可能希望深入研究一下 FileInsight 基于 Python 的插件系统,但需要注意的是:借助极其简洁的 Python 语言编写插件容易使人上瘾!

要获取 FileInsight,请单击此处

免费

迈克菲

McAfee

Windows

用户评论
用户名
评论内容
发表时间
ZDNet网友
2011-03-18 14:57:01
ZDNet网友
2010-05-21 00:49:14
ZDNet网友
2010-05-21 00:48:00
ZDNet网友
微软应该对自己的用户负责,如果用户完全使用xp升级微软win7,为什么要付出这样麻烦的代价?都是微软出品软件,且都是利用该软件获取信息以及处理文字、多媒体功能,微软应该尽可能方便用户!虽然有时候这样的请求也许跟不上时代技术发展的脚步,但是微软不要以此为借口,认为一切都理所应当,就不可以方便用户。还是要尽力,所谓拿人手短吃人嘴软,商业不正是讲求有商道吗!至少做人需诚实守信,尽可能帮助用户顺利、安全转换操作系统、各种必须软件功能尽可能兼容以及信息尽可能的少丢失!虽然这很大程度仅仅取决于微软等计算机专家、工程师的自我自律约束,我们普通用户恐怕很难知道微软究竟仅了多大力量为用户考虑,但是我相信真相会有被发现的一天,无论多久远。 微软从某种意义上来说,就是一个类似“掌握魔方”操作特别出神入化的公司。几乎奠定了电脑主要的“规则”,但是,我却相信不久将来我们会发现,电脑依然是非常有限的一个小系统而已!随着我们新的关键材料认知突破,电脑系统会真正被另一个革命性新电脑系统所取代,不要以为我这样的说法是无稽之谈不可实现,我却认为很有可能,只看这样的情况发生究竟是快还是慢,是早还是迟!变成历史的小玩具之后的电脑系统,微软会留下良好的历史声名吗?我们拭目以待! 网友::我爱佛祖
2010-02-03 13:52:55
- 发表评论 -
匿名
注册用户

百度大联盟认证黄金会员Copyright© 1997- CNET Networks 版权所有。 ZDNet 是CNET Networks公司注册服务商标。
中华人民共和国电信与信息服务业务经营许可证编号:京ICP证010391号 京ICP备09041801号-159
京公网安备:1101082134