很强的一款恶意软件反检测工具

admin
admin
admin
139164
文章
114
评论
2024年11月14日13:18:02评论14 views字数 1462阅读4分52秒阅读模式
工具简介

al-khaser是一个PoC“恶意软件”应用程序,目的是加强你的反恶意软件系统。它会执行一系列常见的恶意软件技巧(虚拟机、仿真、调试器、沙盒检测等),目的是看看您是否能躲过检测。
很强的一款恶意软件反检测工具
工具特征

反调试攻击

IsDebuggerPresentCheckRemoteDebuggerPresentProcess Environment Block (BeingDebugged)Process Environment Block (NtGlobalFlag)ProcessHeap (Flags)ProcessHeap (ForceFlags)Low Fragmentation Heap (LFH)NtQueryInformationProcess (ProcessDebugPort)NtQueryInformationProcess (ProcessDebugFlags)NtQueryInformationProcess (ProcessDebugObject)WudfIsAnyDebuggerPresentWudfIsKernelDebuggerPresentWudfIsUserDebuggerPresentNtSetInformationThread (HideThreadFromDebugger)NtQueryObject (ObjectTypeInformation)NtQueryObject (ObjectAllTypesInformation)CloseHanlde (NtClose) Invalide HandleSetHandleInformation (Protected Handle)UnhandledExceptionFilterOutputDebugString (GetLastError())Hardware Breakpoints (SEH / GetThreadContext)Software Breakpoints (INT3 / 0xCC)Memory Breakpoints (PAGE_GUARD)Interrupt 0x2dInterrupt 1Trap FlagParent Process (Explorer.exe)SeDebugPrivilege (Csrss.exe)NtYieldExecution / SwitchToThreadTLS callbacksProcess jobsMemory write watchingPage exception breakpoint detectionAPI hook detection (module bounds based)

反分析

OllyDBG / ImmunityDebugger / WinDbg/ IDA Pro / X64dbg / Cheat EngineSysInternals Suite Tools (Process Explorer / Process Monitor / Regmon / Filemon, TCPView, Autoruns)Wireshark / Dumpcap / Fiddler / Http DebuggerProcessHacker / SysAnalyzer / HookExplorer / SysInspectorImportREC / PETools / LordPEJoeBox SandboxResource HackerFrida
等等......,更多请去项目中查看。

下载地址

https://github.com/LordNoteworthy/al-khaser

原文始发于微信公众号(Hack分享吧):很强的一款恶意软件反检测工具

 

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年11月14日13:18:02
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   很强的一款恶意软件反检测工具http://cn-sec.com/archives/3394729.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息