程序逆向

【MalDev-10】免杀-1

04-免杀01-了解查杀机制静态查杀:通过静态字节、字符特征进行查杀,如函数名、变量名等,与已知规则进行比对,如YARA工具。可以尽量不用硬编码方式避免静态查杀启发式查杀:1-反汇编查看功能代码段是否...
admin 12月28日15 views评论payload 恶意软件
阅读全文
安全文章

堆栈欺骗和内存扫描绕过

在这之前,我们介绍了如何使用sleepmask轻松绕过yara规则从而绕过卡巴斯基一类的基于传统的内存扫描的AV(反病毒软件),但问题来了,除了这类检测手段之外,还有基于堆栈检测的EDR,特别是最近一...
admin 10月31日60 views评论edr mask
阅读全文
安全新闻

新型后门睡眠技术赏析

背景睡眠技术是恶意载荷为达到间歇性执行、隐藏自身活动以逃避内存扫描的目的所采用的隐匿策略,在终端对抗中占有重要的一席之地。高隐匿性的睡眠方案能够在沙箱对抗中有效地保护样本的恶意行为不暴露,也帮助载荷在...
admin 10月08日66 views评论stub 内存扫描
阅读全文