- 博客(3)
- 收藏
- 关注
原创 学习笔记-第十八章 恶意代码分析实战
第十八章 加壳和脱壳加壳可执行文件的俩个主要目的是缩减程序的大小,阻碍对加壳程序的探测和分析。1.剖析加壳 恶意代码加壳后,分析人员通常只能获得加壳文件,而不能检测原始程序及加壳器。 要脱壳一个可执行文件,我们必须解开加壳所执行的操作,首先,我们需要理解加壳 器的工作原理。 所有加壳器都是将一个可执行文件作为输入,输出一个新的可执行文件。被加壳的可 执行文件经过压缩,加密或者其...
2019-04-09 11:58:15 647
原创 学习笔记-第十七章 恶意代码分析实战
第十七章 反虚拟机技术恶意代码编写者经常使用反虚拟机技术逃避分析,恶意代码可以使用这种技术探测自己是否运行在虚拟机中。如果恶意代码探测到自己运行在虚拟机中运行,它会执行与其本身行为不同的行为,其中更简单的行为是停止自身运行。1.VMware痕迹 VMware虚拟环境在系统中遗留了很多痕迹,特别是在VMware Tools软件安装之后。因此,恶意代码可以通过存在于操作系统的文件系统,注册表和...
2019-04-07 14:49:41 668
原创 学习笔记-第十六章 恶意代码分析实战
第十六章 反调试技术反调试技术,恶意代码用它识别是否被调试,或者让调试器失效。恶意代码编写者意识到分析人员经常使用调试器来观察恶意代码的操作,因此他们使用反调试技术尽可能地延长恶意代码的分析时间。1.探测Windows调试器 <1>使用Windows API 使用Windows API函数探测调试器是否存在是最简单的反调试技术。 IsDebuggerPresent 查询进程环...
2019-04-03 15:21:32 570
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人