恶意代码---反检测技术

最新推荐文章于 2023-04-13 07:43:13 发布
最新推荐文章于 2023-04-13 07:43:13 发布
阅读量901 收藏
点赞数
文章标签: python 算法
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/haomei999/article/details/116378871
版权

恶意代码种类:木马、蠕虫、广告软件、后门、间谍软件等;

恶意代码反检测技术

1)对抗反汇编技术:将具有特殊构造的数据和代码应用到程序中,错误的程序代码就会在使用反汇编分析工具进行分析时产生;
2)反调试技术:发现调试器被用来检测恶意代码的动作时,反调试技术被恶意代码编写者用来增加调试器对恶意代码的分析时间;延长调试的时间和调试复杂性,恶意代码一旦发现被调试,就通过修改自身程序来使自己奔溃或者修改已经设定的执行路径来达到阻碍调试器分析的目的;
3)反虚拟机技术:恶意代码里含有反虚拟机技术主要由于用于捕获恶意代码的蜜罐使用虚拟机,并且恶意代码攻击的目标通常是用户机器,而这些机器通常不可能运行在虚拟机中;
4)加壳与脱壳技术:加壳器—打包程序;对反病毒软件、复杂的恶意代码进行细致的分析从而达到隐藏恶意代码存在的目的,还可以对恶意代码可执行文件的大小进行缩减;

标准化方法

数据的标准化—将数据按比例缩放,将其选定在一个固定的区间中,数据的标准化处理—将数据统一映射到区间[0,1]区间中;1)atan函数转换(反正切函数)—数据都应该大于等于0,小于0的数据将被映射到[-1,0]区间上;2)z-score标准化—SPSS软件工具最为常用的,Z标准化也叫标准差标准化,处理后的数据符合标准正态分布,即均值为0,标准差为1;

特征提取特征选择效果一样,区别在于:特征提取主要是通过特征之间的关系,组合原来的特征得到新的特征;特征选择是通过初始的特征子集中选择具有代表性的特征;

LH-Code
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
Android代码-ApkProtect
08-08
通付盾第一代安全加固方案开源 项目简介 APK安全加固是面向移动应用程序的深度安全保护服务,可以为您的APP穿上一层“软猬铠甲”,通过加密、加壳、RPC、动态加载等技术为您的应用进行全方位安全保护,有效防止逆向工程、编译、嵌入病毒、非法扣费等恶意行为。 随着Android ART模式和Android 5.0系统的普及,应用加固已全面迎来第二代API定制加固时代,需要更多的开发者和研究人员一起投入到移动安全行业。为了为移动安全领域做出更大的贡献,通付盾现开源第一代安全加固方案(Dex文件整体加密),树立移动安全开放精神和开源标准。加密等级和方案优劣上与友商的企业版相当,研究人员可在此基础上进一步优化。 欢迎广大移动安全研究人员积极投入其中,一起投入安全加固技术的研究。第一代安全加固产品内容主要包含: Dex文件保护 资源文件保护 xml文件保护 内存保护 so保护 与此同时,通付盾已全面推出第二代API定制加固产品,完美兼容Android ART和Android 5.0,并独家通过监管部门的安全加固保护效果检测。 欢迎使用! 项目构成 该项目的开源分组件进行,将第一代安全加固中
Mastering-Malware-Analysis:掌握恶意软件分析,由Packt发布
05-27
掌握恶意软件分析 这是Packt发行的的代码库。 完整的恶意软件分析师指南,可对抗恶意软件,APT,网络犯罪和物联网攻击 这本书是关于什么的? 随着技术的不断增长,遭遇恶意代码或恶意软件的风险也增加了。 由于多次著名的勒索软件攻击,恶意软件分析已成为近年来企业中最流行的话题之一。 掌握恶意软件分析介绍了不同恶意软件类型背后的通用模式,以及如何使用多种方法进行分析。 您将学习如何检查恶意软件代码,并确定它可能对系统造成的损害,以确保其不会进一步传播。 展望未来,您将详细介绍Windows平台的恶意软件分析的所有方面。 接下来,您将掌握混淆和拆卸,调试以及虚拟机技术。 本书将帮助您应对现代跨平台恶意软件。 在本书的整个过程中,您将探索静态和动态恶意软件分析,解压缩和解密以及Rootkit检测的真实示例。 最后,这本书将帮助您加强防御并防止IoT设备和移动平台的恶意软件破坏。 到本书
论文研究-基于动静结合的Android恶意代码行为相似性检测.pdf
07-22
针对同家族恶意软件行为具有相似性的特点进行研究,提出通过静态分析与动态运行程序相结合的方式度量软件行为的相似性。通过编译和soot代码转换框架获取程序控制流图,利用行为子图匹配算法从静态方面对程序行为相似性进行度量;通过自动化测试框架运行程序,利用文本无关压缩算法将捕获到的trace文件压缩后进行相似性度量。该检测方法综合静态检测执行效率高和动态检测准确率高的优点,提高了软件行为相似性度量的效率和准确率。实验分析表明,该检测技术能够准确度量程序之间行为的相似性,在准确率上相较于Androguard有大幅提升。
用OD脱壳的基本方法
02-10
壳出于程序作者想对程序资源压缩、注册保护的目的,把壳分为压缩壳和加密壳两种 UPX ASPCAK TELOCK PELITE NSPACK ... ARMADILLO ASPROTECT ACPROTECT EPE SVKP ... 顾名思义,压缩壳只是为了减小程序体积对资源进行压缩,加密壳是程序输入表等等进行加密保护。当然加密壳的保护能力要强得多!
知者无畏 —— 一个真实的病毒世界.rar
07-16
从事这一行业近十年的时间,我目睹了无数用户的热情、希望和失望,也经历了一次又一次的病毒流行所造成的恐惧,作为一个长期以来以电脑病毒为生的行业人士,感觉到有必要向大家讲述一些真实的病毒故事,在病毒和病毒的世界里,已经充满了太多似是而非的概念,虚假的承诺,读者需要的是真实的材料、客观的描述和对病毒的全面、权威的分析。这也是我在写作这本书的过程中,一直提醒自己努力去做到的:尽可能抛开一个厂商的局限性,完全从病毒和病毒的历史和技术出发,给读者提供一个可信的病毒知识来源。 目 录 前言 3 知识就是力量 3 关于本书 4 为什么要写这本书? 4 电脑病毒真的存在吗? 5 本书的内容 6 关于作者 7 第一章 病毒——数字空间的恐怖分子 8 第一节 数字空间,一种新的生存形式 8 第二节 数字空间的犯罪与安全 9 第三节 一切并不遥远 10 第二章 电脑病毒的由来 13 第一节 一些基础知识 13 第二节 电脑病毒的编年史 18 第三节 微软和病毒,同盟还是敌人 32 第四节 第三只眼睛看病毒 34 第三章 什么是电脑病毒 36 第一节 当你打开电源——引导型病毒 36 第二节 数量最多的病毒——文件型病毒 39 第三节 流传最广泛的病毒——宏病毒 46 第四节 躲避杀毒软件检测——病毒的多态(变形)技术 49 第五节 看不见的战斗——病毒的隐藏技术 51 第六节 病毒是如何进入内存的 53 第七节 浏览就可以传染—可怕的脚本病毒 56 第八节 针对IRC的蠕虫程序 58 第九节 “恶意代码”—不是病毒的病毒 58 第四章 真实的病毒故事 59 第一节 尼姆达病毒,和恐怖分子有关? 59 第二节 红色代码是红色的吗? 64 第三节 “我爱你”,浪漫背后的陷阱 67 第四节 “CIH”的噩梦 69 第五节 漏洞、臭虫还有其他 75 第六节 谁制造了病毒 75 第七节 病毒制造者的近距离接触 78 第八节 火线追踪,找到恶魔的制造者 79 第九节 现代威尼斯商人,病毒商人的故事 81 第十节 “中美黑客大战”的背后 83 第五章 不为人知的幕后——透过技术的迷雾 87 第一节 防病毒卡的兴起与衰落 87 第二节 查病毒——万物之源 87 第三节 “石器时代”的病毒 90 第四节 “视窗”的挑战 93 第五节 警惕的哨兵—病毒防火墙的诞生 95 第六节 主动内核,改动操作系统? 98 第七节 并不神奇的嵌入式技术 99 第八节 “劳拉”—神秘的微软办公软件文件格式 99 第九节 真的有未卜先知这回事吗? 102 第十节 数字免疫系统,理想还是现实? 104 第六章 关于电脑病毒的哲学讨论 107 第一节 开拓与创造,黑客文化的内在动力 107 第二节 警察与小偷 108 第三节 未经许可,不一定需要自我繁殖 109 第四节 偶然还是必然 109 第五节 被商业化污染的电脑病毒 110 第六节 当电脑病毒也成为一种艺术 110 第七章 病毒与黑客 112 第一节 特洛伊木马,从古希腊神话中得到的灵感 112 第二节 真的无孔不入吗?黑客是如何进入你的机器的。 113 第三节“协议”和“端口”,不要被名词吓倒 113 第四节 个人防火墙,能做什么不能做什么? 114 第五节 如何实现自动执行 115 第八章 对电脑病毒说不 117 第一节 关于病毒的十诫 117 第二节 仔细看看你的硬盘 117 第三节 原来如此 118 第四节 当灾难降临的时候 122 第九章 外面的世界—其他操作系统的病毒。 123 第一节 Linux不是避风港 123 第二节 苹果机安全吗? 123 第三节 手机和其他电子设备,未来的战场 124 第十章 未来之战 127 第一节 战争已经开始——美国的信息作战分队609分队 127 第二节 911的启示,从真实到虚拟的恐怖分子 128 第三节 让历史告诉未来 129
全网最稀缺的安卓工具资源APPMT管理+NP管理+云注入+云注入入口解密工具+Apk单机弹窗注入+小黄鸟+黑盒(32位)+黑盒(64位)+算法助手+mhook等等……
明思远的博客
04-13 1万+
trust me + No Vpen detecct+lsp+光速虚拟机+加固解码,Base转码,byte转码,url转码,u码。NP管理器NPManager安卓编译工具,NP管。blackbox32黑盒框架是一个功能非常独特的工。blackbox64黑盒框架是一个功能非常独特的工。此软件属于xp模块运行需要#xp或者lsp框架环境。此软件属于xp模块运行需要#Xp或者lsp框架环境。HttpCanary也叫黄鸟抓包,这是一款功能强大。了一个选择,NP管理器NPManager由吹牛儿。
安卓的检测检测
u012571756的博客
07-18 2562
先来看一段检通过包管理器PackageManager测代码包名检测: PackageManager packageManager=getApplicationContext().getPackageManager(); List<ApplicationInfo> appliacationInfoList=packageManager.getInstalledApplications(PackageManager.GET_META_DATA); for(ApplicationIn...
检测技术——调试
小虎的空间
02-12 2597
一、调试技术  调试技术是一种常见的检测技术,因为恶意软件总是企图监视自己的代码以检测是否自己正在被调试。为做到这一点,恶意软件可以检查自己代码是否被设置了断点,或者直接通过系统调用来检测调试器。  1.断点  为了检测其代码是否被设置断点,恶意软件可以查找指令操作码0xcc(调试器会使用该指令在断点处取得恶意软件的控制权),它会引起一个SIGTRAP。如
外挂技术之-检测检测
02-11 7118
关于游戏外挂检测检测(真正的防封技术)在网上找到篇关于游戏外挂检测检测的文章拿来跟断点的朋友分享。详细文章见附件,这里写些简介。    一:内存探测法        服务器发送个Paket检测游戏内存,然后返回服务器。这对游戏公开的挂威胁大。        侦测基本思想是拦截Peket,返回伪装Peket。    二:DLL扫描        游戏外挂系统(Module32First/
恶意软件检测技术介绍
10-20 1403
 本文中,我们将向读者介绍恶意软件用以阻碍对其进行逆向工程的各种调试技术,以帮助读者很好的理解这些技术,从而能够更有效地对恶意软件进行动态检测和分析。  一、调试技术  调试技术是一种常见的检测技术,因为恶意软件总是企图监视自己的代码以检测是否自己正在被调试。为做到这一点,恶意软件可以检查自己代码是否被设置了断点,或者直接通过系统调用来检测调试器。  1.断点  为了检测其代码是否被设置断
调试技术
11-04
调试技术总结 ,常用的调试手段,检测方法: 探测Windows调试器、手动检测数据结构、系统痕迹检测...
虚拟机检测检测相关
mmdev
10-03 794
虚拟机软件的漏洞和虚拟机执行环境的检测检测(一) 虚拟机软件的漏洞和虚拟机执行环境的检测检测(二) vmware的检测检测 检测虚拟机汇编代码 漏洞法检测虚拟机 虚拟机检测技术剖析 检测源码: #include &lt;windows.h&gt; #include &lt;stdio.h&gt; BOOL gInVMWARE, gInVirtualPC; BOOL...
恶意软件检测技术简介:模拟器超限技术
移动编程
05-10 308
恶意软件是一种招人恨的代码,因为它们专干坏事,如泄漏个人隐私、造成数据丢失,等等。而杀毒软件公司则不断想办法检测并阻止恶意软件。如此一来,猫和老鼠的大戏从此开演了。一般来说,杀毒软件要想防御某种恶意软件需要经过以下过程:收集到样本,分析样本,升级病毒库,之后杀毒软件才能够识别该恶意软件。而检测技术,就是在恶意软件的分析阶段设置障碍,让分析人员无法或难以对恶意代码进行分析,这主要包括两类技术,...
隐藏恶意软件的三大(黑客)技术
weixin_68789096的博客
03-16 585
道高一尺,魔高一丈”,检测恶意软件的新战术和技术正在兴起,但高级黑客也正在使用高级的掩盖方法避免他们的恶意软件被发现。恶意软件作者知道恶意软件研究人员的工作路数,以及他们用以狩猎威胁的工具。比如说,研究人员和程序员通常会用汇编程序和调试器,来找出某段代码的作用。有很多工具和技术都可以检测汇编程序和调试器,包括内置的Windows功能。此类技术的设计目的,大多是辅助对抗盗版——盗版商会用这些工具破解版权保护的软件
恶意软件检测技术简介:调试技术解析
移动安全研究和Android/iOS/小程序隐私合规
05-10 4539
本文中,我们将向读者介绍恶意软件用以阻碍对其进行逆向工程的各种调试技术,以帮助读者很好的理解这些技术,从而能够更有效地对恶意软件进行动态检测和分析。 一、调试技术 调试技术是一种常见的检测技术,因为恶意软件总是企图监视自己的代码以检测是否自己正在被调试。为做到这一点,恶意软件可以检查自己代码是否被设置了断点,或者直接通过系统调用来检测调试器。 1.断点 为了检测其代
Root检测检测
Tesi1a的充电桩
12-25 1万+
0x00背景 Root检测手段 检查已安装的包: SuperSU应用程序 生根应用程序:利用权限升级漏洞来启动设备的应用程序(例如One Click Root,iRoot) Root Apps:需要root权限才能使用其功能的应用程序。例如busybox,SetCPU,Titanium Backup。 Root Cloakers:隐藏设备是否已植根的应用程序。例如Root Cloaker,Root...
过支付宝Xposed登录检测
热门推荐
Pansy的博客
03-25 1万+
在我hook支付宝目前的最新版10.1.58版本时,发现支付宝有Xposed检测机制,如果安装了Xposed则无法登录,提示“你的操作频率过快,请稍后再试” 连登录都不让登录,这也太狠了趴。不过没事,我们可以把它的检测给hook掉。 1.手机连接电脑,打开Android Device Monitor ,可以看到手机正在运行的进程,选中支付宝的进程,点击Start Method Profilin...
xposed绕过模拟器检测_xposed检测下载|国外xposed检测工具(project cerberus)下载v1.4.3 安卓版_ 2265安卓网...
weixin_35251837的博客
01-14 1万+
国外xposed过检测工具是一款能隐藏xposed框架的辅助工具,它能绕过apk的签名验证,绕过手机系统的某些限制,成功修改apk的框架服务,也可以多模拟位置,root系统进行隐藏,提供伪造信息,对你的手机进行很多个性化设置,感兴趣的朋友赶快来2265安卓网下载吧!防止app检测xposed框架介绍xposed框架可以在不修改apk的情况下影响程序运行(修改系统)的框架服务,基于它可以制作出许多功...
IAT随便HOOK+检测方法
kingswb的博客
06-15 3958
防IAT检测方法:IAT在指定目标文件的PE结构里面指定了的,我们把自己内存里面做了修改,没有修改目标文件,只要不让目标文件被其他文件映射,读取PE结构和我们内存中修改过的比较,保证能一切IAT检测。 用法: Code:     HookImage("ZwSetInformationFile",(DWORD)MyZwSetInformationFile);     HookImage(
python爬虫技术代码
最新发布
08-18
Python中,有多种爬虫技术的代码可以使用。其中一种常见的方法是使用请求头(User-Agent)伪装成浏览器发送请求,以避免被服务器检测为爬虫。例如,可以使用`requests`库发送请求时设置`headers`参数来模拟浏览器请求头。 ```python import requests url = "http://example.com" headers = { "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.3" } response = requests.get(url, headers=headers) ``` 另一种常见的爬虫技术是验证码。可以使用Python的第三方库,如`tesseract`或`pytesseract`,来处理验证码。这些库可以帮助你识别并自动输入验证码,以绕过验证码的阻碍。 ```python import requests from PIL import Image import pytesseract url = "http://example.com/captcha.jpg" # 下载验证码图片 response = requests.get(url, stream=True) with open("captcha.jpg", "wb") as f: for chunk in response.iter_content(chunk_size=128): f.write(chunk) # 使用tesseract识别验证码 image = Image.open("captcha.jpg") captcha = pytesseract.image_to_string(image) # 发送带验证码的请求 data = { "captcha": captcha, # 其他请求参数 } response = requests.post(url, data=data) ``` 除了上述方法外,还可以使用IP代理池来轮流使用不同的IP地址发送请求,以避免被服务器限制。可以使用第三方库,如`requests-ProxyPool`或`proxypool`来实现。此外,还可以使用动态IP服务提供商提供的API来获取动态IP地址。 总的来说,Python爬虫技术代码主要包括请求头伪装、验证码处理和IP代理等方法。根据具体的爬虫策略和目标网站的防护措施,可以选择适合的代码实现。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *3* [Python爬虫——爬](https://blog.csdn.net/weixin_30906425/article/details/94801488)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* [python爬虫基本爬](https://blog.csdn.net/weixin_73513579/article/details/128469988)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

LH-Code

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值