检测项目

1.静态特征分析：包括文件哈希值（SHA-256/MD5）、字符串特征（ASCII/Unicode）、PE头结构（入口点/区段表）及导入导出函数表分析。

2.动态行为监控：记录进程创建/终止事件（PID/时间戳）、API调用序列（NtCreateProcess/RegSetValueEx）、注册表修改路径（HKEY_LOCAL_MACHINE\Software）及网络连接行为（IP:Port/DNS请求）。

3.代码混淆识别：检测加壳类型（UPX/ASPack）、多态引擎特征（指令替换/垃圾代码插入）及虚拟化保护强度（VM指令集复杂度）。

4.内存驻留检测：分析进程内存映射（VAD树结构）、隐藏模块加载地址（BaseAddress/Size）及钩子函数偏移量（SSDT/IDTHook）。

5.漏洞利用验证：验证CVE编号对应攻击向量（缓冲区溢出/ROP链构造）、Shellcode执行路径及漏洞触发成功率（PoC验证）。

检测范围

1.可执行文件：包括WindowsPE文件（EXE/DLL/SYS）、LinuxELF文件及MacOSMach-O格式文件。

2.文档类文件：支持Office文档（DOC/XLS/VBA宏）、PDF文件（JavaScript嵌入）及RTF格式漏洞利用样本。

3.脚本文件：涵盖PowerShell脚本（.ps1）、Python字节码（.pyc）及JavaScript混淆代码（JS/Obfuscation）。

4.移动应用：AndroidAPK文件（DEX/Manifest权限声明）及iOSIPA文件（Mach-O/Plists配置项）。

5.网络流量数据包：HTTP/HTTPS协议载荷（User-Agent/Cookie）、DNS隧道数据及TCP/UDP隐蔽信道流量。

检测方法

1.基于ASTME2927-16e1标准实施沙箱环境动态行为测试，记录进程树生成及系统调用序列。

2.依据ISO/IEC27037:2012规范进行数字证据保全，采用写保护设备进行原始镜像提取。

3.按GB/T35279-2017要求执行恶意代码分类分级，量化评估样本危害等级（I-IV级）。

4.采用GB/T36643-2018规定的网络协议逆向分析方法解析加密通信内容。

5.参照MITREATT&CK框架构建攻击链模型，验证横向移动策略（T1021/T1078）。

检测设备

1.FireEyeAX系列网络威胁分析仪：支持全流量捕获与协议深度解析（吞吐量≥10Gbps）。

2.CuckooSandbox2.0.7开源沙箱：提供Windows/Linux多平台虚拟化环境及行为日志生成。

3.IDAPro7.7反汇编工具：实现跨架构二进制代码静态分析（x86/ARM/MIPS）。

4.Volatility3.0内存取证框架：支持Windows/Linux/MacOS物理内存镜像解析。

5.Wireshark4.0.8协议分析仪：具备TLS解密功能及Lua脚本扩展接口。

6.Suricata6.0入侵检测系统：支持多线程模式下的正则表达式匹配（规则集≥50,000条）。

7.Radare2逆向工程平台：集成反编译插件与污点分析模块。

8.VMwareESXi8.0虚拟化平台：提供硬件辅助虚拟化隔离环境（VT-x/AMD-V支持）。

9.YARA4.3特征匹配引擎：支持多条件逻辑规则与模块化规则库管理。

10.Ghidra10.3反编译工具：实现自动化代码交叉引用分析与伪代码生成。

北检(北京)检测技术研究院【简称：北检院】

报告：可出具第三方检测报告(电子版/纸质版)。

检测周期：7~15工作日，可加急。

资质：旗下实验室可出具CMA/CNAS资质报告。

标准测试：严格按国标/行标/企标/国际标准检测。

非标测试：支持定制化试验方案。

售后：报告终身可查，工程师1v1服务。

　　以上是与恶意软件检测检测相关的简单介绍，具体试验/检测周期、检测方法和仪器选择会根据具体的检测要求和标准而有所不同。北检研究院将根据客户需求合理的制定试验方案。