在恶意代码中5种常见的混淆
恶意软件的演变速度超过以往任何时候。随着安全措施的改进,用于绕过这些措施的技术也在进步。这场持续的军备竞赛催生了越来越复杂的混淆方法,即使是对经验丰富的分析人员来说也极具挑战。 本篇博客将深入探讨当前在实战中观察到的一些尖端混淆策略。我们将剖析这些策略的工作原理,并讨论检测及缓解它们的策略。无论您是安全专业人士还是对最新的网络安全趋势感兴趣,理解这些技术对于……
恶意代码漏洞分析:CVE-2024-21413
概述 https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2024-21413 CVE-2024-21413是Microsoft Outlook 远程代码执行漏洞,称为 Moniker Link 的特定形式的超链接时绕过 Outlook 的安全协议。利用此缺陷,攻击者可以向目标发送包含有害名字……
恶意代码技术理论:反调试技巧
调试标志 https://anti-debug.checkpoint.com/techniques/debug-flags.html 对象句柄 https://anti-debug.checkpoint.com/techniques/object-handles.html 异常 https://anti-debug.checkpoint.com/techni……
恶意代码样本分析:Raspberry Robin分析
基本信息 216421829e1ca1bd8c18258b373f0aa9 样本分析 第1层 第一层是单个隔离器 第一层 第2层 第三层在第二层之后,偏移0x3F0处 第二层 第三层偏移 第2层取消原始dll内存映射,并将第三层dll映射到原始dll内存空间,并从入口点执行 第3层 从第3层开始,每个子程序都……
恶意代码技术理论:RTTI(运行时类型信息)
RTTI概述 运行时类型信息(RTTI,Run-time Type Information)是一种在C++中用于在运行时获取和使用类型信息的机制。C++引入这个机制是为了让程序在运行时能根据基类的指针或引用来获得该指针或引用所指的对象的实际类型。但是现在RTTI的类型识别已经不限于此了,它还能通过typeid操作符识别出所有的基本类型(int,指针等)的变量……
恶意代码技术理论:哈希
参考链接:https://mp.weixin.qq.com/s/7WrlFUepch6JhU2NhdSyJw 侵删 spamsum spamsum是一种用于文本、文件和二进制数据的哈希算法,它将数据压缩到一个短字符串中。spamsum的主要应用是在大规模垃圾邮件过滤中,用于查找相似的邮件和判定垃圾邮件。spamsum的算法基于局部敏感哈希(LSH)和信息熵理……
恶意代码技术理论:VMProtect
概述 VMProtect是一款基于虚拟机技术的可执行文件保护工具。它将目标程序转换成一种虚拟机指令集,称为VM代码,这种指令集与目标程序原本的指令集不同。VMProtect还会加密、混淆和优化VM代码,增加破解者分析和逆向的难度。VMProtect还提供了各种反调试和防止破解的技术。 下面分别介绍VMProtect的几个主要原理: 1.虚拟化 VMProte……
恶意代码技术理论:Rich Header
概述 Rich Header 是一种 Windows 可执行文件格式的元数据结构,用于记录程序的编译环境、资源文件、链接库等信息。它通常出现在 PE 文件的最后一个节(section)之后,用于记录程序编译和链接的详细信息,可以帮助调试人员更好地分析和理解程序的结构和行为。 Rich Header 的结构相当复杂,其中包含了多个条目(entry),每个条目都……
恶意代码漏洞分析:CVE-2023-21716
概述 CVE-2023-21716是Microsoft Word 的 RTF 解析器在处理 rtf 文件字体表(\fonttbl)中包含的过多字体(\fN)时产生的堆损坏漏洞。 为什么要开启页堆? 开启页堆是为了方便进行堆相关漏洞的分析和调试。在开启页堆的情况下,当程序在进行堆分配时,操作系统会使用单独的物理内存页来存储分配的堆。这些页是以4KB的大小进行分……