楼主: B100D1E55
收起左侧

[分享] 从简单案例看多层防御的重要性

  [复制链接]
tihs
发表于 2017-11-23 18:08:36 | 显示全部楼层
不懂技术的膜拜下技术帝!!
不知道这种技术类型的恶意软件那些个主流“主防”能否防御?例如卡巴PDM、Sonar、ATC之类
jmkbird
发表于 2017-11-23 18:37:27 | 显示全部楼层
你是要称霸月最佳帖子啊
jmkbird
发表于 2017-11-23 18:43:54 | 显示全部楼层
pal家族 发表于 2017-11-23 14:37
这篇文件的点击率保证---个中缘由,就这么被省略了。

猜测是?
狩猎者
发表于 2017-11-23 20:38:35 | 显示全部楼层
反正我是看不懂
浅美
发表于 2017-11-23 20:55:21 | 显示全部楼层
技术细节看不懂。不过楼主大致意思是层层把控拦截还是明白的。只是全手工或半手工操作的话实在无暇顾及。HIPS我确实用不来。
蜀山小剑侠
头像被屏蔽
发表于 2017-11-23 21:13:42 来自手机 | 显示全部楼层
感谢技术大神分享,还请多发这样的精品贴。
cloud01
头像被屏蔽
发表于 2017-11-23 22:00:53 | 显示全部楼层
HEMM 发表于 2017-11-23 16:11
偶和其他人不一样,看的懂的人在看技术,偶素来看鸭子的,原谅鸭不够美型,这个你要肿么给观众一个交代,差 ...

其实ESET也是懒,只要在HIPS模块里内置对系统程序的注入和高危系统程序调用询问用户就OK了,再给个红色框框。360这点就做得好。
现在自己的规则都不知道调用的程序是干什么的。。
jefffire
头像被屏蔽
发表于 2017-11-23 22:01:08 | 显示全部楼层
其中两个magic number类似nop,之后作者通过修改文件头的文件大小来构造一个跳转指令跳转到图片数组中(这里值得注意的是bmp的像素是逆序存储),随后在第一次跳转后的像素值上进一步修改再次跳转到最终的可执行路径。


这个方法和很久以前把恶意代码伪装成图片,再由其他程序或者脚本读取后执行有什么不同之处?
B100D1E55
 楼主| 发表于 2017-11-23 22:35:41 | 显示全部楼层
jefffire 发表于 2017-11-23 22:01
这个方法和很久以前把恶意代码伪装成图片,再由其他程序或者脚本读取后执行有什么不同之处?

我觉得本质上没什么区别,近期相当多的恶意程序payload喜欢伪装成PNG或者GIF,但是作为图片没法解码出有意义的信息(没具体查meta,说不定还是改extension)。当然也有一些作者用简单的末尾cat方法……
这个简单例子的payload倒是可以解码为有意义的图,稍微下点功夫可以把嵌入的binary藏得更好一点+0偏移。
好奇杀软文件监控怎么处理这种资源文件,大概只能查杀注入程序?
B100D1E55
 楼主| 发表于 2017-11-23 22:38:39 | 显示全部楼层
聆听落雨 发表于 2017-11-23 12:56
大神,能不能帮我将这个网页的代码删除一下啊,我总是出BUG

https://bbs.kafan.cn/thread-2109376-1-1.h ...

貌似有人回答了,我就不凑热闹了
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-22 22:56 , Processed in 0.098130 second(s), 13 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表