反杀软引擎样本分析

最新推荐文章于 2025-04-03 19:20:12 发布
原创 最新推荐文章于 2025-04-03 19:20:12 发布 · 305 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文深入探讨了恶意代码如何通过循环、线程同步、动态库查找及无效循环等手段,来检测并规避杀软引擎的分析。恶意代码首先通过循环和线程同步判断是否处于虚拟环境中,再通过查找不存在的函数和加载假dll来进一步确认,最终在确定安全后运行其核心恶意功能。

样本托入ghidra:
在这里插入图片描述
在这里插入图片描述刚开始对时候就一个循环拖慢引擎,接着用线程同步来判断是否在杀软引擎里面,注意:在虚拟机里面同步是可以完成的,也就是_n==4会成立,在杀软引擎里面往往Sleep函数会马上返回。
在这里插入图片描述
接下来去Kernel32动态库找一个不存在的函数,如果没找到,判断不在杀软引擎里面。
加载一个不存在的dll,如果返回0,则不在引擎里面。
可以看的里面还用了很多无用的循环来拖慢虚拟机。
在这里插入图片描述
最后检测完后跑开始跑恶意代码。

精选资源
在线对比源码+数据源
12-15
1. **病毒引擎**:不同的在线采用不同的病毒引擎,这些引擎使用各种算法来检测和清除病毒、木马、间谍件等恶意件。对比源码可以让我们了解各个件如何实现这些功能,包括静态分析、行为分析和启发式...
程序员开发了一款件,完成了舔狗的绝地(代码开源)!
良月柒
12-01 554
程序员的成长之路互联网/程序员/成长/职场关注阅读本文大概需要 2.4 分钟。本文来源于:知乎“林萌”在一个阳光明媚的清晨,我打开窗户呼吸了一口新鲜空气。阳光灿烂,岁月静好,又是一个约...
白加黑样本分析
weixin_51409218的博客
08-20 1150
白加黑样本分析
Ghidra 工具的安装
I_AM_MD的博客
01-10 5599
Ghidra(发音为gee-druh)是由美国国家安全局(NSA)开发的免费开源逆向工程工具。这些二进制文件于 2019 年 3 月在 RSA 会议上发布;一个月后,源代码发布在 GitHub 上。Ghidra 被许多安全研究人员视为 IDA Pro 的竞争对手。该件是使用 Java 语言编写的,使用 GUI 的 Swing 框架。编译器组件是用 C++ 编写的,因此可以独立形式使用。
ida汇编java_汇编逆向工具 ghidra_9.0 类似ida使用教程
weixin_34040270的博客
02-24 836
打开后提示输入jdk,准备好jdk 11版本的目录 粘贴进去输入就行了。image.png和ida不同,这个需要新建项目,然后导入文件,这里可以批量导入。导入成功之后双击so就可以打开image.pngcodebrower就是汇编工具,image.png和ida一样输入;可以添加备注。可以选择c文件对应的方法image.pngimage.png你是怎么发音Ghidra的?啧啧,druh。G听起来...
Exp3 免原理和实践
weixin_34391854的博客
03-30 210
一、基础问题回答 1.是如何检测出恶意代码的? (1)基于特征码的检测 特征码是能识别一个程序是一个病毒的一段不大于64字节的特征串。如果一个可执行文件包含这样的特征码则被件检测为是恶意代码。 (2)启发式恶意件检测 一般在缺乏精确判定依据时,根据些片面特征去推断是否为恶意件,比如如果一个件在干通常是恶意件干的事,看起来像个恶意件,那就把它当成一个恶意件...
国外免壳Tixor:支持免国内所有
描述中强调“8月4日过国内所有”,意味着在该时间节点上,使用Tixor加壳后的样本未被国内主流安全厂商(如360、腾讯电脑管家、火绒、金山毒霸、瑞星等)识别为恶意行为,说明其采用了先进的混淆策略,可能包括...
2011最新免教程:轻松绕过360及主流
本文将围绕“2011最新免教程”标题及其描述,结合“过360五引擎”、“主流”等关键词,对免技术的核心知识点进行深入剖析。 首先,标题“2011最新免教程”表明该文档或资料发布于2011年,属于较早期的免...
Cobalt Strike CS2 Beacon免技术分析
最新发布
syg6921008的博客
04-03 2244
Cobalt Strike 2/4.x (CS2) 是当前红队演练和APT模拟中最常用的控制框架。由于它的 Beacon payload 默认给出的可执行文件、加载器和 shellcode 均已被大量件加入特征并纵向检测,因此,Beacon 免处理是正常使用的必须技术前缀。免技术分为静态免,动态免,行为干扰免,内存免和正常行为防护等方面,以下进行精细分类。利用 VirtualAlloc / VirtualProtect 创建可执行内存段自定义 shellcode 解密流程。
黑防2009免版:兼容主流的渗透测试工具
然而,这种“免”往往是短暂的——一旦该样本被安全厂商捕获并分析,新的特征码将迅速加入病毒库,导致其失效。因此,“一生出来就免”更多是一种营销话术,强调其在发布瞬间的有效性,而非长期可用性。 从文件...
艺术 1: 史上最全的免方法汇总
weixin_34303897的博客
09-20 3623
本文讲的是免艺术 1: 史上最全的免方法汇总, 从本文开始,我们将分三章来系统的讲述一下有关免的各种技术。 虽然目前有很多方法可以让恶意件使用某一技术绕过病毒检测,但这些显然不是恶意件免的终极目标, 它们的最终目标是实现 “FUD”, “FUD” 是地下网络论坛的黑话,代表“恶意件完全不可被检测到”的意思。 本文主要是通过介绍静态免、...
修改某远控上线flag包
R4bbit
09-22 813
被控端: 修改包头flag信息: CClientSocket::CClientSocket() { WSADATA wsaData; m_gFunc.WSAStartup(MAKEWORD(2, 2), &wsaData); m_hEvent = m_gFunc.CreateEvent(NULL, TRUE, FALSE, NULL); m_bIsRunn...
ghidra_9.0使用入门
Peanuts
03-07 7788
ghidra_9.0使用入门 昨天就听说NSA公开了这套工具,通过朋友下载使用了一下,感觉还行其实一些功能和ida差不多。这里写个简单的入门使用教程,这工具很
Ghidra逆向工具入门与应用
热门推荐
白马负金羁
09-20 1万+
逆向工程中涉及到多种多样的工具(例如IDA Pro,Angr等),Ghidra是由美国国家安全局(NSA,National Security Agency)的研究理事会为 NSA 的网络安全任务开发的件逆向工程(SRE)框架,它有助于分析恶意代码和病毒等恶意件,并可以让网络安全专业人员更好地了解其网络和系统中的潜在漏洞
远控杂说---总有一款适合你
小英雄颂人头
03-28 2457
前言 我在佛前苦求了几千年神器,愿意用几世换我们一世情缘,希望可以感动上天。 你我相识,我们一同探索开源神器,如果喜欢小编,就赶紧关注我们, 让我们一起成长吧 部分图片 下面的图片展示了一部分远控的图片,里面包含了很多很多好玩有不错的事情。 远控大集合列表 优秀神器大杂烩 https://github.com/quasar/QuasarRAT https://github.co...
[翻译]Ghidra简介
Hu4
03-15 5996
原文链接:Ghidra: A quick overview for the curious 转自看雪大佬:crownless Ghidra是由美国国家安全局(NSA)研究部门开发的件逆向工程(SRE)套件,用于支持网络安全任务。它最近被公开出来,我对此感到好奇,想看看它是什么样的。 我还没有查过是否有其他人已经发过了类似的概述文章,不过,我还是决定写这篇文章,为了自己和那些不想自行运...
vbs混淆脚本分析
Cosmopolitan的博客
09-01 4595
这里是混淆的代码 L = 0 : If (L = 0) Then : X = "Ͳ·Φͫνΰήκίΰνͫ΅ͫγκπίδιδͫͳήʹͫξζτλΰͫ΅ͫγκπίδιδ͸ασͫΨΉ͕͕͘͘ͲΈ͸Έ͸Έ͸Έ͸ΈͫήκιαδβͫΈ͸Έ͸Έ͸Έ͸Έ͸Έ͸Έ͸Έ͸Έ͸Έ͸Έ͸Έ͸Έ͸Έ͸Έ͕͕͘͘γκξοͫΈͫͭρδΰςδ͹λπέηδήρθ͹ήκθ͕ͭ͘λκνοͫΈͫͿͿ͕͘διξοάηηίδνͫΈͫͭͰοΰθ...
TrojanDownloader简单分析
Cosmopolitan的博客
07-27 2759
这里是WinMain的入口,先读取最后自己最后160解密出要下载的url: 注册服务和写入注册表来加入自启动 没有下载过就开一个线程去下载执行 下载执行并且标记为已下载 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值