在恶意代码中5种常见的混淆
恶意软件的演变速度超过以往任何时候。随着安全措施的改进,用于绕过这些措施的技术也在进步。这场持续的军备竞赛催生了越来越复杂的混淆方法,即使是对经验丰富的分析人员来说也极具挑战。 本篇博客将深入探讨当前在实战中观察到的一些尖端混淆策略。我们将剖析这些策略的工作原理,并讨论检测及缓解它们的策略。无论您是安全专业人士还是对最新的网络安全趋势感兴趣,理解这些技术对于……
恶意代码技术理论:反调试技巧
调试标志 https://anti-debug.checkpoint.com/techniques/debug-flags.html 对象句柄 https://anti-debug.checkpoint.com/techniques/object-handles.html 异常 https://anti-debug.checkpoint.com/techni……
恶意代码技术理论:RTTI(运行时类型信息)
RTTI概述 运行时类型信息(RTTI,Run-time Type Information)是一种在C++中用于在运行时获取和使用类型信息的机制。C++引入这个机制是为了让程序在运行时能根据基类的指针或引用来获得该指针或引用所指的对象的实际类型。但是现在RTTI的类型识别已经不限于此了,它还能通过typeid操作符识别出所有的基本类型(int,指针等)的变量……
恶意代码技术理论:哈希
参考链接:https://mp.weixin.qq.com/s/7WrlFUepch6JhU2NhdSyJw 侵删 spamsum spamsum是一种用于文本、文件和二进制数据的哈希算法,它将数据压缩到一个短字符串中。spamsum的主要应用是在大规模垃圾邮件过滤中,用于查找相似的邮件和判定垃圾邮件。spamsum的算法基于局部敏感哈希(LSH)和信息熵理……
恶意代码技术理论:VMProtect
概述 VMProtect是一款基于虚拟机技术的可执行文件保护工具。它将目标程序转换成一种虚拟机指令集,称为VM代码,这种指令集与目标程序原本的指令集不同。VMProtect还会加密、混淆和优化VM代码,增加破解者分析和逆向的难度。VMProtect还提供了各种反调试和防止破解的技术。 下面分别介绍VMProtect的几个主要原理: 1.虚拟化 VMProte……
恶意代码技术理论:Rich Header
概述 Rich Header 是一种 Windows 可执行文件格式的元数据结构,用于记录程序的编译环境、资源文件、链接库等信息。它通常出现在 PE 文件的最后一个节(section)之后,用于记录程序编译和链接的详细信息,可以帮助调试人员更好地分析和理解程序的结构和行为。 Rich Header 的结构相当复杂,其中包含了多个条目(entry),每个条目都……
恶意代码技术理论:VBA 调试一些方法
byte转string Private Function ByteArrayToHex(ByRef ByteArray() As Byte) As String Dim lb As Long, ub As Long Dim l As Long, strRet As String Dim lonRetLen As Long, lonPos……
恶意代码技术理论:VBA Debug Print(调试输出)
参考链接:https://www.wallstreetmojo.com/vba-debug-print/ Debug 是 VBA 中的一个对象,与 Assert 和 Print 这两种方法一起使用。在 VBA 中,Debug.Print 语句用于编码程序的任何地方,以在 即时窗口(ctrf+G) 中显示变量或消息的值。这些不需要任何确认,并且不会对开发的代码……
恶意代码技术理论:curl模仿mshta协议下载载荷
curl -H “Accept: /” -H “Accept-Language: ru,en0US;q=0.3” -H “UA-CPU: AMD64” -H “Accept-Encoding: gzip, deflate” -H “User-Agent……
恶意代码技术理论:分级保护域
简介 在计算机科学中, 分级保护域(英语:hierarchical protection domains,经常被叫作保护环(Protection Rings),又称环型保护(Rings Protection)、CPU环(CPU Rings),简称Rings。这是一种用来在发生故障时保护数据和功能,提升容错度,避免恶意操作 ,提升计算机安全的设计方式。这是一种……