基于进程虚拟机的混淆分析对抗技术

最新推荐文章于 2024-07-21 22:19:13 发布
最新推荐文章于 2024-07-21 22:19:13 发布
阅读量81 收藏
点赞数
文章标签: wireshark web安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/text2206/article/details/131850465
版权

组织名称

|

Wslink—|— 组织编号

|

未知 关联组织

|

未知 战术标签

|

防御规避 技术标签

|

虚拟机执行 情报来源

|

https://www.welivesecurity.com/2022/03/28/under-hood-wslink-multilayered-
virtual-machine/##01攻击技术分析

亮点:基于虚拟机的混淆分析对抗

混淆技术是一种常见的软件保护技术,目的是使得软件难以被逆向分析。本次事件中,攻击者正是滥用这一点,实现基于虚拟机的分析对抗。

虚拟机可以分为两个主要类别:

1.系统虚拟机:支持运行整个操作系统,例如VMWare、Virtual Box等产品;

2.进程虚拟机:为程序提供独立于平台的环境,允许程序在任何平台上以相同的方式执行,例如Java等。

进程虚拟机依靠一种与操作系统无关的字节码(IR)作为中间层,是程序与操作系统间类似汇编语言的存在,它可以使得程序能够在不同指令集架构(ISA)的CPU上执行。利用这样的机制,可以通过构造高级语言与低级语言间的中间层以及对应的转换方法,实现在操作系统上运行不同架构的其他操作系统。在本次事件中,利用的就是进程虚拟机中的相关技术和概念,但其目的却并不是跨平台运行,而是实现基于此的分析对抗。

为了降低利用难度

最低0.47元/天 解锁文章
AIGC_Allen
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[系统安全] 逆向工程进阶篇之对抗逆向分析
H4ppyD0g的博客
10-14 2276
线性反汇编策略是遍历每一个代码段,根据二进制码进行反汇编,缺点是不会区分某个二进制码是数据还是指令,全部按照指令来反汇编。如果在一个函数开头加上这个字节码,则反汇编器会认为是一个call指令,这条call指令占用了函数开头的4个字节,从而破坏掉要这个完整的函数。通过使用windwos提供的api可以判断自己是否正在被调试,比如下面的一些函数,如果在分析的代码中看到这些函数,就说明这个代码样本在检测自身是否被调试。当恶意代码意识到自己被调试时,可以改变正常的执行路径或者修改自身程序导致崩溃而对抗调试。
[网络安全自学篇] 八十八.基于器学习的恶意代码检测技术详解
热门推荐
杨秀璋的专栏
07-19 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了传统的恶意代码检测技术,包括恶意代码检测的对象和策略、特征值检测技术、校验和检测技术、启发式扫描技术虚拟检测技术和主动防御技术。这篇文章将介绍基于器学习的恶意代码检测技术,主要参考郑师兄的视频总结,包括器学习概述与算法举例、基于器学习方法的恶意代码检测、器学习算法在工业界的应用。同时,我再结合自己的经验进行扩充,详细分享了基于器学习的恶意代码检测技术,基础性文章,希望对
基于虚拟的软件保护技术
Jack__CJ的博客
09-24 890
导读 基于虚拟的软件保护技术不确定是否首先由vmprotect提出,但vmprotect毫无疑问是将这项技术大力推广至人所周知。现在基于虚拟的软件保护技术已经成为现代软件安全防护的必备功能之一。 本文并不打算对vmprotect或其它某款软件安全套件进行深入讨论,而着眼于研究基于虚拟的软件保护技术的起源、思想和实现。 现有软件保护技术概述 传统的软件保
详解反虚拟技术
D_R_L_T的博客
01-28 1541
恶意代码编写者经常使用反虚拟技术逃避分析,这种技术可以检测自己是否运行在虚拟中。如果恶意代码探测到自己在虚拟中运行,它会执行与其本身行为不同的行为,其中最简单的行为是停止自身运行。近年来,随着虚拟技术的使用不断增加,采用反虚拟技术的恶意代码数量逐渐下降。恶意代码编写者已经开始意识到,目标主虚拟,也并不意味着它就没有攻击价值。随着虚拟技术的不断发展和普通应用,反虚拟技术可能变得更
基于AI的恶意软件分析技术(3)
山楂的博客
05-05 7093
2020年一篇综述:基于AI的恶意软件检测和分类研究的发展、趋势和挑战
详解基于器学习的恶意代码检测技术
华为云官方博客
02-25 4316
摘要:由于器学习算法可以挖掘输入特征之间更深层次的联系,更加充分地利用恶意代码的信息,因此基于器学习的恶意代码检测往往表现出较高的准确率,并且一定程度上可以对未知的恶意代码实现自动化的分析
虚拟技术总结
weixin_30338461的博客
08-30 158
虚拟技术总结 来源https://bbs.pediy.com/thread-225735.htm 大概是在一年半以前我在自己CSDN博客上写了详解反虚拟技术和详解反调试技术,没想到看的人还很多,有人甚至给我发私信发邮件,在百度和谷歌搜索“反调试”和“反虚拟”,第一条结果就是我的文章。我决定在看雪也分享一下。当然我只是做了个整理收集的工作,没有一条技术和一行代码是我原创的,参考链接会附...
剖析Gorgon APT的新变体GuLoader(CloudEyE)对抗技术
jentle8的博客
11-24 1183
GuLoader,或者也被称为 CloudEye,是一个小型 VB5/6 下载器恶意软件。通常,它会从 Google Drive 下载远程访问工具(RAT)和窃取程序,例如 Agent Tesla,Arkei/Vidar,Formbook,Lokibot,Netwire 和 Remcos。
基于AI恶意软件分类技术(5)
山楂的博客
06-21 2232
2021年malware分类技术综述,提到各种特征提取方法及现有的分类算法。
基于融合编译的软件多样化保护方法
01-20
以 LLVM 开源编译框架为基础,提出了一种基于融合编译的软件多样化保护方法,该方法将目标软件进行随化加密处理,并在编译层面与掩护软件进行深度融合,通过内存执行技术,将加密后的目标软件进行解密处理,进而在...
免杀合集内含100多种免杀方法总有一种适合你
07-21
免杀技术是网络安全领域中的一个重要话题,特别是在对抗恶意软件和病毒时。免杀,顾名思义,就是让恶意程序避开安全系统的检测,从而达到在目标系统中隐藏和执行的目的。这个“免杀合集”可能包含了一系列的技术、...
免杀学习.zip
10-06
文件"AntiAntiVirusNotes-master"很可能是一个关于免杀技术的研究资料或者教程,通常包含一系列的方法、技巧和工具,用于对抗反病毒软件的检测制。以下是一些可能涵盖的知识点: 1. **混淆技术**:通过改变代码...
过SE检测过VM检测的完美OD
03-31
SE壳通常是一种代码混淆和保护技术,它通过修改程序行为来防止调试。而VM检测则是另一种反调试策略,它检测程序是否在虚拟环境中运行,因为调试器有时会在虚拟中使用以增加安全性。 描述中提到的问题,即用户试图...
早期抗启发式查杀win32免杀壳(源代码)
04-04
启发式查杀技术基于行为分析和模式匹配来检测潜在的恶意行为,而免杀壳则是为了混淆这些行为,使其难以被检测到。 "Win32"在这里指的是Windows操作系统上的32位应用程序接口,这类程序广泛应用于各种Windows系统。...
用Wireshark观察IPsec协议的通信过程
布丁椰奶冻的博客
07-19 297
一、配置本地安全策略 二、启动Wireshark,设置过滤器,开始捕获 1. 主模式 2. Quick mode 三、心得体会 1. 碰到的问题和解决办法 2. 心得
用 WireShark 抓住 TCP
2402_85546752的博客
07-17 459
也就是图中最上面的红色框部分。这一次的连接建立和中断一共产生了来回 8 次的请求,每次请求会在列表上列出时间、源端IP、目的端IP、以太网帧长度以及概览信息,包括数据传输方向(源端口->目标端口)、标记情况、序号、确认序号、窗口大小等等。2,接下来要用 Telnet 连接一个外网服务器,所以我选择第一个 WI-FI:en0,这样 Wireshark 就会捕获我连接的 wifi 上的网络传输。第一部分是连接建立的三次握手,第二部分是发了长度为 1个字节的数据,第三步是客户端主动发起的断开连接的四次挥手过程。
使用wireshark第一次捕获数据包
最新发布
Python私教
07-21 140
这三个框有自己的名字,分别是数据包列表,数据包详情和数据包字节。可以修改字体和颜色,但是我选择使用默认的。着色规则也可以修改。
提升无线网络安全:用Python脚本发现并修复WiFi安全问题
m0_68483928的博客
07-17 469
文章详细介绍了如何使用Python脚本和一些强大的开源工具来捕获和测试WPA/WPA2握手。通过上述步骤,您可以在本地测试WiFi密码的安全性,并了解其潜在的漏洞。最后,选择指定密码本进行爆破(我这里的是从网络上收集的,大家可以自行去收集,或者评论或私信我获取)在本文中,我们将介绍并展示如何使用Python脚本来破解WiFi密码。首先,它会验证路由器的MAC地址(BSSID)是否格式正确,例如00:77:88:33:44:55。工具,通过提供的单词表文件来获取密码。·命令查看路由器的网卡地址,并输入。
js虚拟混淆 伪代码
06-03
JS虚拟混淆是一种比较高级的混淆技术,它通过将JavaScript代码转换为虚拟指令来进行混淆。下面是一个简单的伪代码示例: 1. 将JavaScript代码转换为虚拟指令。 2. 对虚拟指令进行加密,可以使用对称加密...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值