木马核心技术剖析读书笔记之木马反分析技术

最新推荐文章于 2024-10-26 10:14:31 发布
原创 最新推荐文章于 2024-10-26 10:14:31 发布 · 1k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#木马核心技术剖析 #读书笔记 #反分析

本文是关于木马核心技术剖析的读书笔记,重点探讨了反调试、反反汇编、反虚拟机、反沙盒和反内存扫描等反分析技术。通过分析调试器的工作机制,介绍了通用和特定的反调试方法,以及如何利用特定指令和表检测虚拟机。此外,还讨论了沙盒原理及其检测策略,以及如何避免内存被扫描。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

常见的恶意软分析技术主要包含静态分析和动态分析两大类

反调试

木马程序使用反调试技术,可以阻止调试器对木马程序的加载;阻止调试器对木马程序的执行控制;阻止对木马程序设置断点;阻止调试器读取被调试进程的内存信息,进而延缓整个分析过程

Windows 系统实现了专门的调试器接口,而大多数调试器都是基于这些调试接口实现的

调试器工作机制

反病毒分析过程中,由于不可能获取到被分析软件的源码,通常使用的都是汇编级调试器

  • 源码级调试器针对各种高级语言,如 Chrome 附带的 JavaScript 源码调试器、专门针对 Java 语言的调试器 JDB、Visaul Studio 开发环境自带的调试器、Windbg、GDB 和 LLDB 等
  • 汇编级调试器主要针对机器语言,如 x86 平台机器指令、ARM 机器指令等,这类调试器比较有名的有 Ollydbg、Windbg、x64dbg、GDB 和 LLDB 等
  • 有些调试器既支持源码级调试,也支持汇编级调试,如 Windgb、GDB、LLDB

使用 Windows 系统调试接口的调试器中,首先创建或者附加被调试程序的进程;然后启动一个调试循环,该循环不断接收各种调试事件,并根据事件的类型读取被调试进程相应的信息进行处理,最后在用户的主动干预下恢复被调试进程

image_1c4vqnn0gkgodqr1gdfq6q1nnlm.png-213.7kB

通常,调试器主要有软断点、硬件断点和内存断点三种类型的断点

  • 软断点是单字节的机器指令,它在暂停程序执行的同时,将程序的执行控制转交给调试器进程的断点事件处理过程。软断点通过替换设置断点处的1字节内容为O×CC实现,O×CC代表了INT 3中断指令,它通知CPU暂停执行,而引发一个INT 3事件。
最低0.47元/天 解锁文章

200万优质内容无限畅学
木马核心技术剖析读书笔记木马技术的发展趋势
不急不躁
03-14 1631
通信隐蔽化 为了更好地逃避目标主机上的安全软件、防火墙的拦截,越来越多的木马采用更底层的通信协议,甚至实现不同于 TCP/IP 协议的私有协议,以达到更好的通信过程隐蔽化 基于 Tor 的通信 Tor 提供了一个顶级域 .onion,用户只能通过 Tor 访问网络中的服务主机,有效地保护了提供服务的主机位置所有者的身份标识 卡巴斯基发现了多种使用 Tor 进行通信的木马,如 64 ...
浅析木马服务端的生成技术
马说@优快云
06-07 2803
  有些木马在解压缩之后只会有一个客户端程序,用户可以通过在客户端的一些设置工作来自动生成针对性比较强的服务端程序,例如特定的端口、击键木马的邮件地址、密码、SMTP服务器等等。在本文中,我将简要地探讨这一技术的实现。  事实上,这一技术并无神秘性可言,因为说穿了这一技术不过是对可执行文件的自定义资源进行操作罢了。也就是说,客户端程序本身绑有一段自定义的二进制数据,这段二进制数据实质上就是一个服务
木马核心技术剖析读书笔记之Windows 64 位系统下的木马技术
不急不躁
03-15 529
对比 32位系统 64位系统 物理内存最大容量 4GB 2TB 单进程地址空间最大容量 3GB 8TB Windows 64 位系统 当前64位平台上只实现了48位的线性地址空间,0-47位是地址,48-63保持与第47位相同。低地址范围:0x0000000000000000-0x00007FFFFFFFFFFF,高地址范围:0xFFF...
木马核心技术剖析读书笔记木马驱动加载与启动
不急不躁
03-18 1311
Windows 系统启动过程 基于 UEFI 的启动过程 UEFI 固件接口可以实现 BIOS 固件接口类似的功能,逐步成为主流的固件接口之一。它主要提供一组在操作系统启动之前在所有平台上一致的服务,是在 EFI 1.0 基础上发展起来的新型可扩展固件接口,得到了大多数行业主流企业的支持 UEFI 的几乎所有组件都用 C 语言开发完成,不再使用中断、硬件端口直接操作的方法,而是采用 ...
木马核心技术剖析读书笔记木马实例解析
不急不躁
03-14 2815
模块化的木马系统架构 被控端是整个木马的核心,它包含 Dropper 与常驻模块两部分 Dropper Dropper 是木马在植入过程中执行的组件,只在目标机器上执行一次,然后自行删除。Dropper 首先判断系统环境,如果检测出在沙盒或者虚拟机中运行,则执行错误的功能,或者非木马本身的功能。如果有调试器存在,则放弃执行。如果没有发现异常,则继续获取系统中安装的安全软件类型等信息,...
木马核心技术剖析读书笔记木马的隐藏
不急不躁
03-18 2508
文件隐藏 常用的文件隐藏方法有基于用户模式的 Rootkit 也有基于内核模式的 Rootkit 基于用户模式的 Rootkit 在 Windows 中,应用层的大多数功能都是通过调用 Native API 完成的。以 Windows7 为例,Native API 通过 sysenter 指令进入内核,进而调用 SSDT(System Service Dispatch Table,系...
木马核心技术剖析读书笔记木马免杀
不急不躁
03-16 2407
免杀原理 基于特征码的检测 基于病毒特征码的检测方法,是目前反病毒软件最常用的检测技术。经过长时间的收集与积累,反病毒软件建立了庞大的已知病毒的特征数据库。在对可疑软件进行检测时,会从特征数据库中匹配已有特征。这种方法相对比较准确、快速,而且可以很容易地通过快速分析,结合新的模板,添加新的病毒文件特征。 特征码可以是一个简单的字符串或者代码字节序列,也可以是包含了已知恶意文件各项特点的...
木马查杀深度剖析.pdf 原生彩色文字版 含书签目录
10-30
原来PDF含广告,我转了Word花了好大力气去了广告,现在转回了PDF。如果内容有遗失,你们可以下载原来的PDF转的Word。名字叫:木马查杀深度剖析(打包).pdf
木马查杀深度剖析》 pdf
08-30
木马查杀深度剖析
LPK木马分析-01
Bill
05-02 531
序言 在吾爱破解上面找的一个, 练习用的, 本篇文章分析第一个线程的作用. WinMain int __stdcall WinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPSTR lpCmdLine, int nShowCmd) { struct WSAData WSAData; // [sp+0h] [bp-1A0h]@1 ...
CHAOS,反杀毒,反沙箱
我的学习笔记
02-28 1134
参考:https://github.com/tiagorlampert/CHAOSapt install golang upx-ucl -y git clone https://github.com/tiagorlampert/CHAOS.git cd CHAOS go run CHAOS.go CHAOS延迟70秒以绕过大多数防病毒沙箱。 ...
[反汇编练习] 160个CrackMe之028
LindaXu1220的博客
07-05 250
[反汇编练习] 160个CrackMe之028. 本系列文章的目的是从一个没有任何经验的新手的角度(其实就是我自己),一步步尝试将160个CrackMe全部破解,如果可以,通过任何方式写出一个类似于注册机的东西。 其中,文章中按照如下逻辑编排(解决如下问题): 1、使用什么环境工具 2、程序分析 3、思路分析破解流程 4、注册机的探索 -----------------...
木马核心技术剖析读书笔记木马通信与防火墙穿透
不急不躁
03-15 1549
基于 TCP 的木马控制通信 TCP 协议是字节流式的传输协议 ,木马通信还需要自定义应用层的协议 被控机器的唯一标识一般是对被控机器的硬盘序列号、MAC 地址等固定信息进行 Hash 计算得到 粘包与分包处理 粘包是指在接收方接收数据时,可能一次接收到多个数据包的数据组成的数据段,也可能收到一个或者几个完整的包与一个后续包的部分数据组成的数据段 TCP粘包产生有两方面原因:...
代码混淆/程序保护(对抗反汇编)原理与实践
热门推荐
pianogirl123的博客
12-25 1万+
所谓对抗反汇编技术,就是在程序中使用特殊构造的代码或数据,让反汇编工具产生不正确的指令。恶意代码使用该技术,可以一定程度上阻碍相似性检测算法启发式反病毒检测。一、反汇编算法的局限性反汇编软件在拿到一堆机器码时,采用什么样的思维算法来“断词断句”,又基于哪些假设,都会决定最终的解析结果。运用不同的反汇编器,同样的字节码会被“翻译”出完全不同的指令序列。而对抗反汇编技术就是利用了反汇编器算法的天生漏
木马清道夫:专业电脑木马查杀与防护
最新发布
weixin_42160645的博客
10-26 1398
本文还有配套的精品资源,点击获取 简介:木马清道夫是一款高效电脑木马查杀软件,提供实时监控定期扫描,保护用户免受恶意软件侵害。软件利用病毒库升级机制,识别并清除各类木马。用户通过"ftcsetup.exe"安装程序进行安装或更新,同时需要定期扫描、开启实时保护并保持病毒库最新,以有效防护个人信息安全。 1. 木马清道夫功能介绍 1.1 主要功能概述 ...
病毒反调试跟踪
笔记本
03-21 3297
跟踪一个反调试巨多的病毒样本 1.调用 QueryPerformanceCounter反调试,这个API调用了封装ZwQueryPerformanceCounter系统调用的ntdll!NtQueryPerformanceCounter 004060FA |. 3345 FC xor eax,[local.1] 004060FD |. 8945 FC ...
如何通过木马追踪黑客_追踪木马
cunfuxiao7305的博客
09-28 775
如何通过木马追踪黑客I'm not even a tenth as clever as Mark Russinovichin tracking these things down, but I got to play IT department a bit today. You're probably the IT department for your family as well. When...
木马隐藏技术深度剖析及VMware中模拟分析指南
1. **木马核心技术剖析读书笔记木马的隐藏_ntdll ntquerydirectoryfile-优快云博客.pdf** - 此文档可能是某位读者对木马隐藏技术中使用ntdll的ntquerydirectoryfile函数进行隐藏技术研究的笔记。这个函数通常用于...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值