恶意软件开发者通常会使用各种技巧使分析工作变得更加困难。这些技巧包括使逆向工程复杂化的混淆技巧、逃避沙箱的反沙箱技巧、绕过静态检测的打包技巧等。多年来,各种恶意软件在野外使用的无数欺骗手段都记录了这一...
以 Roshtyak 后门为例介绍恶意软件的自保护、逃逸等技巧(三)
变量隐藏一些变量不是以明文形式存储的,而是使用一个或多个算术指令隐藏起来的。这意味着如果 Roshtyak 没有主动使用变量,它将以混淆的形式保留该变量的值。每当Roshtyak需要使用该变量时,它必...
洞见简报【2022/12/12】
2022-12-12 微信公众号精选安全技术文章总览洞见网安 2022-12-120x1 APT32非白加黑样本分析与解密OnionSec 2022-12-12 21:30:24原始文件名为...
攻击技术研判|Roshtyak中使用的内存防御规避策略
情报背景AVAST的研究人员近期对Roshtyak恶意DLL进行了完整逆向,揭示了很多其使用的高级样本技巧,这些技巧非常有趣且属于首次出现,被AVAST认为Roshtyak是他们见过反分析最成功的恶意...
以 Roshtyak 后门为例介绍恶意软件的自保护、逃逸等技巧(二)
异常检查此外,Roshtyak包含设置自定义向量异常处理程序的检查,并有意触发各种异常,以确保它们都按预期得到处理。Roshtyak使用RtlAd...