探索恶意软件对抗的新利器：avred

探索恶意软件对抗的新利器：avred

在网络安全的战场中，对抗恶意软件是一项至关重要的任务。而今天，我们向您推荐一个独特且强大的工具——avred，这是一个专为红队测试设计的反病毒减轻器。通过深入洞察反病毒引擎的工作机制，avred帮助安全专家识别并理解反病毒软件如何检测文件，从而优化和混淆恶意工具。

项目简介

avred（AntiVirus REDucer）是一个开源项目，旨在为红队成员提供更有效的对抗策略。它能展示文件中被反病毒标记的部分，并提供各种相关信息和上下文，包括匹配的节区名称、验证结果以及匹配代码或数据参考的增强信息。此外，avred还提供了一个在线平台：avred.r00ted.ch，以便用户直接在线进行文件扫描。

项目技术分析

avred的优势在于其对内部文件结构的深刻理解和广泛支持。它可以提取PE、.NET和Word文件中的关键部分，并针对每个部分单独进行扫描。它利用了AMSI服务器，能够支持任何类型的反病毒软件，并通过详细的信息展示（如十六进制转储和反汇编代码）来验证和解析匹配项。

应用场景

avred主要应用于以下场景：

1. 红队操作中对恶意工具的混淆和优化。
2. 对抗性研究，以了解反病毒引擎的检测机制。
3. 安全评估，检测文件是否已被反病毒引擎识别。

与ThreatCheck相比，avred提供了更多功能，比如显示所有匹配项、验证匹配效果、提供更多匹配信息以及揭示匹配的相关性，使得用户可以更有针对性地处理最薄弱点。

项目特点

• 深度分析：avred具备对PE、.NET和Word文件的内部结构知识，能够执行精细的分析。
• 广泛兼容：支持多种反病毒软件，通过AMSI HTTP服务器实现。
• 全面信息：提供关于每条匹配项的详细信息，包括段名称、验证信息和上下文。
• 智能验证：自动验证匹配项的有效性，确保结果准确无误。

示例体验

以下是一个简单的命令行示例，展示了avred如何用于检测文件中的匹配项：

$ ./avred.py --file app/upload/DripLoader.exe
[...]
DripLoader.exe size: 93184  ident: PE EXE 64
ScannerInfo: zero-sections,section-scan
Matches: 
id:0  offset:12991  len:195
  Section: .text
  Hexdump: 
00012991   48 81 C4 98 13 00 00 C3 CC CC CC CC CC CC CC C3    H...............
[...]

安装与使用

avred要求Python 3.8环境，并依赖于radare2等库。安装过程简单明了，只需运行pip3 install命令，然后配置好服务器IP，即可开始使用。

结语

avred作为一个高效且功能强大的工具，为对抗恶意软件的战争开辟了新的道路。无论是红队成员还是研究人员，都可以从中受益，提升对抗反病毒引擎的能力。立即试用avred，让我们一起探索更深层次的安全领域吧！