本文深入探讨了恶意代码如何通过循环、线程同步、动态库查找及无效循环等手段,来检测并规避杀软引擎的分析。恶意代码首先通过循环和线程同步判断是否处于虚拟环境中,再通过查找不存在的函数和加载假dll来进一步确认,最终在确定安全后运行其核心恶意功能。
样本托入ghidra:
刚开始对时候就一个循环拖慢引擎,接着用线程同步来判断是否在杀软引擎里面,注意:在虚拟机里面同步是可以完成的,也就是_n==4会成立,在杀软引擎里面往往Sleep函数会马上返回。
接下来去Kernel32动态库找一个不存在的函数,如果没找到,判断不在杀软引擎里面。
加载一个不存在的dll,如果返回0,则不在引擎里面。
可以看的里面还用了很多无用的循环来拖慢虚拟机。
最后检测完后跑开始跑恶意代码。
反杀软引擎样本分析
样本托入ghidra:
刚开始对时候就一个循环拖慢引擎,接着用线程同步来判断是否在杀软引擎里面,注意:在虚拟机里面同步是可以完成的,也就是_n==4会成立,在杀软引擎里面往往Sleep函数会马上返回。
接下来去Kernel32动态库找一个不存在的函数,如果没找到,判断不在杀软引擎里面。
加载一个不存在的dll,如果返回0,则不在引擎里面。
可以看的里面还用了很多无用的循环来拖慢虚拟机。
最后检测完后跑开始跑恶意代码。
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
扫一扫
