从简单案例看多层防御的重要性

显示全部楼层 · 发表于 2017-11-23 18:08:36

不懂技术的膜拜下技术帝！！
不知道这种技术类型的恶意软件那些个主流“主防”能否防御？例如卡巴PDM、Sonar、ATC之类

显示全部楼层 · 发表于 2017-11-23 18:37:27

你是要称霸月最佳帖子啊

显示全部楼层 · 发表于 2017-11-23 18:43:54

pal家族发表于 2017-11-23 14:37
这篇文件的点击率保证---个中缘由，就这么被省略了。

猜测是？

显示全部楼层 · 发表于 2017-11-23 20:38:35

反正我是看不懂

显示全部楼层 · 发表于 2017-11-23 20:55:21

技术细节看不懂。不过楼主大致意思是层层把控拦截还是明白的。只是全手工或半手工操作的话实在无暇顾及。HIPS我确实用不来。

显示全部楼层 · 发表于 2017-11-23 21:13:42

感谢技术大神分享，还请多发这样的精品贴。

显示全部楼层 · 发表于 2017-11-23 22:00:53

HEMM 发表于 2017-11-23 16:11
偶和其他人不一样，看的懂的人在看技术，偶素来看鸭子的，原谅鸭不够美型，这个你要肿么给观众一个交代，差 ...

其实ESET也是懒，只要在HIPS模块里内置对系统程序的注入和高危系统程序调用询问用户就OK了，再给个红色框框。360这点就做得好。
现在自己的规则都不知道调用的程序是干什么的。。

显示全部楼层 · 发表于 2017-11-23 22:01:08

其中两个magic number类似nop，之后作者通过修改文件头的文件大小来构造一个跳转指令跳转到图片数组中（这里值得注意的是bmp的像素是逆序存储），随后在第一次跳转后的像素值上进一步修改再次跳转到最终的可执行路径。

这个方法和很久以前把恶意代码伪装成图片，再由其他程序或者脚本读取后执行有什么不同之处？

显示全部楼层 · 发表于 2017-11-23 22:35:41

jefffire 发表于 2017-11-23 22:01
这个方法和很久以前把恶意代码伪装成图片，再由其他程序或者脚本读取后执行有什么不同之处？

我觉得本质上没什么区别，近期相当多的恶意程序payload喜欢伪装成PNG或者GIF，但是作为图片没法解码出有意义的信息（没具体查meta，说不定还是改extension）。当然也有一些作者用简单的末尾cat方法……
这个简单例子的payload倒是可以解码为有意义的图，稍微下点功夫可以把嵌入的binary藏得更好一点+0偏移。
好奇杀软文件监控怎么处理这种资源文件，大概只能查杀注入程序？

显示全部楼层 · 发表于 2017-11-23 22:38:39

聆听落雨发表于 2017-11-23 12:56
大神，能不能帮我将这个网页的代码删除一下啊，我总是出BUG

https://bbs.kafan.cn/thread-2109376-1-1.h ...

貌似有人回答了，我就不凑热闹了

[分享] 从简单案例看多层防御的重要性