攻击者常用的术语

Crypters:恶意软件在其执行过程中进行加密和解密。使用这种技术,恶意软件经常不会被反恶意软件引擎或静态分析所检测到。加密器通常可以被定制,并能在地下市场里买到。定制的加密器会使得解密或反编译更具挑战性。Aegis Crypter、Armadillo、和RDG Tejon都是先进加密器的代表。

Packer:类似于加密器。Packer对恶意软件文件进行压缩而非加密。UPX是一种典型的Packer。

Binder:将一个或多个恶意软件文件捆绑成一个。一个可执行的恶意软件可以与JPG 文件绑定,但其扩展名仍为EXE。恶意软件作者通常将恶意软件文件与合法的EXE文件相捆绑。

Pumper:增加文件的大小,以使恶意软件有时能够绕过反恶意软件的引擎。

FUD:使反恶意软件完全无法被探测。恶意软件的卖家用来 描述和推广其工具。一个成功的 FUD程序结合了scantime和runtime因素,从而达到100%不会被检测到的效果。我们当前知道有两种类型的FUD:

- FUD scantime:在恶意软件运行之前,保护其不被反恶意引擎检测到。

- FUD runtime:在恶意软件运行期间,保护其不被反恶意引擎检测到。

Stub:通常包含用于加载(解密或减压)原始的恶意文件到内存所需的例程。

Unique stub generator:为每个正在运行的实例创建独特的stub,以使检测和分析更为困难。

Fileless malware: 通过将自身插入到内存而并非向磁盘写入文件的方式来感染系统。

Obfuscation:使得恶意软件代码难以为人类所理解。将编码过的纯文本字符串(XOR、Base64等)插入恶意文件,或无用功能添加到该文件中。

Junk code :添加无用代码或假指令到二进制文件,以迷惑反汇编视图或耗废分析时间。

Anti’s:有时候地下论坛或黑市,用来定义所有用于绕过、禁用、或干掉保护和监测工具的技术。

Virtual machine packer:一些先进的packers采用了虚拟机的概念。当恶意软件的EXE文件被打包后,原始代码被转化成虚拟机的字节代码,并会模拟处理器的行为,VMProtect和CodeVirtualizer就使用的是这种技术。

posted @ 2022-03-18 23:10  一只代码弱鸡  阅读(121)  评论(0编辑  收藏  举报