网络稻草人是什么?
稻草人是一款在计算机后台运行的软件,它会创建恶意软件通常不喜欢与之共存的工具和程序的虚假指示。这样恶意软件就会决定不感染你。
它是如何工作的?
当黑客在受感染的受害者身上安装恶意软件时,他们首先会检查以确保其可以安全运行。他们不想被抓住,因此会避开装有安全分析或反恶意软件工具的计算机。稻草人利用了这一点,它在计算机后台运行并“伪造”这些指示器。它非常轻量,可以诱使恶意软件认为您的计算机不是它们应该待的地方。
•虚假流程。稻草人会创建一些不执行任何操作但看起来像安全研究工具的后台进程。
•伪造的注册表项。稻草人会创建注册表项,使其看起来像是安全工具安装在了您的计算机上。
•接下来还有更多。现在还处于早期阶段,我们只处于 Alpha 阶段。随着时间的推移,我们将继续改进虚假指标让您的计算机看起来更加逼真。
技术原理
稻草人的想法来自阅读恶意软件分析报告。在这些报告中,你会看到恶意软件首先检查受感染机器上的各种指标。如果存在,恶意软件就会停止,而不会感染受害者。
安装稻草人后,程序文件目录中会有一个名为 scarecrow_conf.xml 的 XML 文件。在这里,您可以看到它在您的计算机上创建的所有指标。您还可以在设置菜单中看到它们。示例包括虚拟化、AV 和调试工具。我们不断向此列表添加内容。示例包括 ProcessHacker、x64dbg、tcpview、proc_analyzer、vboxservice、qemu-ga 等等。
下载
稻草人目前是一个 Windows .NET 应用程序。您需要一台 64 位 Windows 10 或更高版本的计算机。Scarecrow 非常轻量,因此性能要求非常低。您需要安装最新的 LTS 版本的 .NET 框架,如果您还没有安装,它位于安装程序中。
下载地址:https://www.cyberscarecrow.com/download[1]
链接: https://pan.baidu.com/s/1p7d6GJFIBQKu7y96H_MCGQ 提取码: 353u
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论