汇总病毒样本的常用反调试技术、反分析技巧(持续更新)

最新推荐文章于 2023-08-14 18:56:15 发布
最新推荐文章于 2023-08-14 18:56:15 发布
阅读量1.2k 收藏 4
点赞数 1
分类专栏: 逆向学习、病毒分析之路 文章标签: 反调试相关技术
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/userpass_word/article/details/82462579
版权
本文记录了各种反调试技术,包括检测Wine环境、Cuckoo Sandbox、Sandboxie的标志,以及BlockInput、IsDebuggerPresent等API的使用。此外,还介绍了反分析技巧,如查找AVG组件、特定调试器窗口、DLL文件和进程,以及反沙箱技术,如识别Wine、Anubis沙箱环境和常见沙盒用户名。这些内容有助于理解恶意代码的反调试策略。
摘要由CSDN通过智能技术生成

自己在看到一些没见过的反调试技术时,感觉很好奇,不清楚时如何反调试的,但是还是会很努力的去弄懂它们,现在呢,我希望记录下我见过的一些反调试手段,这样后面大家如果碰到类似的反调试技术时,都会很容易理解这段恶意代码的作用了。

1、下图中是通过检测kernel32.dll模块中是否有导出wine_get_unix_file_name函数,来判断当前环境是否是Wine模拟器环境

2、下图中的v3的地址指向的字符串是python.exe,其实sub_401cde函数中是在遍历当前进程中是否有python.exe,这是在检测当前环境是否是在Cuckoo Sandbox中运行

3、下图中lpModuleName = "sbiedll.dll",通过检测当前环境中是否能得到sbiedll.dll模块基址,从而判断它是否运行在Sandboxie环境中

4、摘抄别处的提到的反调试技术

1)BlockInput()函数的调用:该函数在调试会话期间有效&#

最低0.47元/天 解锁文章
ATree、063
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
种类齐全的调试调试,来自GitHub
12-06
## Features ### Anti-debugging attacks - IsDebuggerPresent - CheckRemoteDebuggerPresent - Process Environement Block (BeingDebugged) - Process Environement Block (NtGlobalFlag) - ProcessHeap (Flags) ...
恶意样本分析手册-虚拟机检测篇(下)
zzkk_的博客
08-14 4664
在当今信息安全领域,特别是恶意软件分析中,经常需要利用到虚拟机技术,以提高病毒分析过程的安全性以及硬件资源的节约性,因此它在恶意软件领域中是应用越来越来广泛。这里我们所谓的虚拟机(Virtual Machine)是指通过软件模拟的具有完整硬件系统功能的、运行在一个完全隔离环境中的完整计算机系统。 虚拟机检测 一、VMWare 1.1查找注册表 通过检测注册表“HARDWARE\DEVICE
恶意软件检测技术简介:调试技术解析
移动安全研究和Android/iOS/小程序隐私合规
05-10 4575
本文中,我们将向读者介绍恶意软件用以阻碍对其进行逆向工程的各种调试技术,以帮助读者很好的理解这些技术,从而能够更有效地对恶意软件进行动态检测和分析。 一、调试技术 调试技术是一种常见检测技术,因为恶意软件总是企图监视自己的代码以检测是否自己正在被调试。为做到这一点,恶意软件可以检查自己代码是否被设置了断点,或者直接通过系统调用来检测调试器。 1.断点 为了检测其代
虚拟机沙箱恶意代码分析
追影-追踪高级威胁,捕获0day漏洞
08-19 3429
随着高级可持续攻击威胁对抗技术的不断发展,针对恶意代码进行分析,检测未知恶意代码,经常利用虚拟机技术。RSA展会也有很多安全厂商使用这些技术进行APT分析,传统的病毒厂商和僵尸网络追踪团队也都利用虚拟机进行大量的分析获取样本运行的海量信息进行分析处理。厂商们所使用的虚拟机软件通常包括VMware、VirtualBox等,这些虚拟机可以在一台物理计算机上模拟出多台虚拟的计算机,这些虚拟机完全就像
病毒调试跟踪
笔记本
03-21 3030
跟踪一个调试巨多的病毒样本 1.调用 QueryPerformanceCounter调试,这个API调用了封装ZwQueryPerformanceCounter系统调用的ntdll!NtQueryPerformanceCounter 004060FA |. 3345 FC xor eax,[local.1] 004060FD |. 8945 FC ...
调试技术(一)--静态调试
weixin_30871293的博客
03-13 232
为了保护自己的程序不被破译等,很多软件使用了调试技术来阻止逆向程序员对自己程序进行爆破,这同时也催生了另一种技术--调试破解技术的出现。调试技术分为静态调试技术和动态调试技术。相比来说静态调试技术更容易实现,破解一般也只需要一次,我们这次就先谈一下静态调试技术,以及对应的破解之道。 1.PEB结构中有几个重要的成员标示了进程是否处于被调试状态。(以下以32位为例) +0x0...
病毒软件的编制技术和最新查毒技术介绍培训课件.ppt
12-06
特征码是由病毒软件公司通过分析病毒样本,从中抽取的一小段具有代表性的二进制代码,类似于病毒的“指纹”。当杀毒软件在系统中检测到与病毒特征码相匹配的代码片段时,即可判断该文件可能被病毒感染。 特征码的...
APT对传统病毒技术的威胁和我们的应对尝试
03-02
APT(AdvancedPersistentThreat,高级持续性威胁)是我们目前非常感兴趣的方面,我们也曾多次在公开场合谈论APT,而与上一次在NINIS(国家网络信息安全技术研究所)的安全威胁论坛中总结我们APT样本分析的一些不足...
方程式组织SPARC架构样本分析调试.pdf
08-10
•方程式组织回顾 •SPARC架构分析 •动态调试技术
BlackByte勒索软件开始使用新的数据泄露工具ExByte
最新发布
yy1715713348的博客
08-14 244
BlackByte 勒索软件在 2021 年被首次发现,随后不断发现其变种。BlackByte勒索软件不仅使用双重勒索,还运营着勒索软件即服务(RaaS)。最近,研究人员发现 BlackByte 开始使用名为 ExByte的数据泄露工具来窃取受害者的数据。
各种调试技术原理与实例 VC版[学习CK].
11-10
调试技术 VC版 2 发现OD的处理 2 1. 窗口类名、窗口名 3 2. 检测调试器进程 4 3. 父进程是否是Explorer 5 4. RDTSC/ GetTickCount时间敏感程序段 6 5. StartupInfo结构 7 6. BeingDebugged 8 7. PEB.NtGlobalFlag , Heap.HeapFlags, Heap.ForceFlags 9 8. DebugPort: CheckRemoteDebuggerPresent()/NtQueryInformationProcess() 12 9. SetUnhandledExceptionFilter/ Debugger Interrupts 14 10. Trap Flag单步标志异常 16 11. SeDebugPrivilege 进程权限 16 12. DebugObject: NtQueryObject() 17 13. OllyDbg:Guard Pages 20 14. Software Breakpoint Detection 22 15. Hardware Breakpoints Detection 24 16. PatchingDetection CodeChecksumCalculation补丁检测,代码检验和 25 17. block input封锁键盘、鼠标输入 26 18. EnableWindow禁用窗口 27 19. ThreadHideFromDebugger 28 20. Disabling Breakpoints禁用硬件断点 30 21. OllyDbg:OutputDebugString() Format String Bug 30 22. TLS Callbacks 30
[跟踪_脱壳] 技术集锦
zth99的专栏
01-24 1168
  具体代码就不贴了,知道原理就可以写出代码。一些是实践所得,一些是别人的成果,也 都收集在一起了。解密、加密这个攻防战好像和传统作战的攻防战不同,防的一方能用的技术 远远多于攻的一方。   1)花指令   很无聊的技巧,但也有一定作用:隐藏指令,干扰分析。   2)花循环   无用循环,让跟踪者浪费时间,心烦。   3)时间比较   经典的跟踪技巧,单步跟踪比连续执行的时间长很多。   4)父
Windows下调试技术汇总
qq138480084的博客
09-15 2531
Windows下调试技术汇总 Windows下调试技术汇总一、前言二、静态调试技术2.1 进程状态检测2.2 调试环境检测三、动态调试技术3.1 时钟检测3.2 异常处理3.3 0xCC探测3.4 硬件断点检测3.5 单步检测3.6自调试四、总结 一、前言 对于安全研究人员来说,调试过程中经常会碰到调试技术,原因很简单:调试可以窥视程序的运行“秘密”,而程序作者想要通过调试手段隐藏他们的“秘密”,普通程序需要防止核心代码被调试逆向,恶意代码需要隐藏自己的恶意行为防止被跟
调试技术总结(看雪)
eli的博客
12-07 2794
大概是在一年半以前我在自己CSDN博客上写了详解虚拟机技术和详解调试技术,没想到看的人还很多,有人甚至给我发私信发邮件,在百度和谷歌搜索“调试”和“虚拟机”,第一条结果就是我的文章。我决定在看雪也分享一下。当然我只是做了个整理收集的工作,没有一条技术和一行代码是我原创的,参考链接会附在最后。 调试技术,恶意代码用它识别是否被调试,或者让调试器失效。恶意代码编写者意识到分析人员经常使用调试器来观察恶意代码的操作,因此他们使用调试技术尽可能地延长恶意代码的分析时间。为了阻止调试器的分析..
几种常见调试方法
hambaga的博客
03-08 1381
#include <Windows.h> #include <stdio.h> BOOL IsDebug1() { return IsDebuggerPresent(); } BOOL IsDebug2() { HANDLE hProcess = GetCurrentProcess(); BOOL bDebug; if (0 == CheckRemoteDebuggerPresent(hProcess, &bDebug)) { return TRUE; }
木马核心技术剖析读书笔记之木马分析技术
不急不躁
03-16 935
常见的恶意软分析技术主要包含静态分析和动态分析两大类 调试 木马程序使用调试技术,可以阻止调试器对木马程序的加载;阻止调试器对木马程序的执行控制;阻止对木马程序设置断点;阻止调试器读取被调试进程的内存信息,进而延缓整个分析过程 Windows 系统实现了专门的调试器接口,而大多数调试器都是基于这些调试接口实现的 调试器工作机制 病毒分析过程中,由于不可能获取到被分析软件的源码,...
详解调试技术
热门推荐
houjingyi的博客
10-14 3万+
调试技术,恶意代码用它识别是否被调试,或者让调试器失效。恶意代码编写者意识到分析人员经常使用调试器来观察恶意代码的操作,因此他们使用调试技术尽可能地延长恶意代码的分析时间。为了阻止调试器的分析,当恶意代码意识到自己被调试时,它们可能改变正常的执行路径或者修改自身程序让自己崩溃,从而增加调试时间和复杂度。很多种调试技术可以达到调试效果。这里介绍当前常用的几种调试技术,同时也会介绍一些逃避
26种对付调试的方法
weixin_34235371的博客
05-15 4520
2019独角兽企业重金招聘Python工程师标准>>> ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值