02 2025 档案
摘要:一、什么是edr 终端检测与响应(EDR)是一种安全解决方案,可检测并响应勒索软件和恶意软件等威胁。它通过持续监控端点可疑活动来工作,方法是收集有关事件的数据,如系统日志、网络流量、进程间通信 (IPC)、RPC 调用、身份验证尝试和用户活动。 安装在端点上的 EDR 将收集数据,然后分析并关联它们
阅读全文
摘要:一、介绍 信息论熵 指的是数据集中随机性的程度,随机性程度增加,熵值也随之增大。各种类型的熵度量标准,如吉布斯熵、玻尔兹曼熵和雷尼熵。然而,在网络安全领域,熵通常指的是香农熵,它产生 0 到 8 之间的一个值。随着数据集中随机性级别的增加,熵值也会增加。 恶意软件二进制文件通常具有高于普通文件的高熵
阅读全文
摘要:一、延迟执行介绍 延迟执行是一种常见的技术,用于绕过沙盒环境。沙盒通常具有时间限制,会阻止它们长时间分析二进制文件。因此,恶意软件可以在代码执行中引入长时间的暂停,迫使沙盒在能够分析二进制文件之前终止,如果恶意软件样本在解密和执行有效负载之前执行一个等待函数三分钟,那么分析时间限制为两分钟的沙盒将无
阅读全文
摘要:一、通过硬件规格实现反虚拟化 一般来说,虚拟化环境无法完全访问主机的硬件。恶意软件可以利用对硬件缺乏完全访问权限来检测它是否在虚拟环境或沙箱中执行。请记住,无法保证完全准确,因为机器可能只是以较低的硬件规格运行。将检查的硬件规格如下: CPU — 检查处理器数量是否少于 2 个。 RAM — 检查是
阅读全文
摘要:一、介绍 反分析技术是防止安全分析师分析恶意软件、查找静态或动态签名和 IoC 的措施。因为这些信息用于在下一次在环境中发现它时检测样本,恶意软件分析师会通过分析可疑二进制文件收集数据。一般来说,恶意软件分析师总是会找到逆向工程恶意软件的方法,因此反分析技术的目标是让分析过程更加耗时。 二、实现 (
阅读全文
摘要:一、介绍 SysWhispers 是一个通过直接系统调用绕过系统调用钩子的工具。SysWhispers 有多个版本,具有不同的特性。本文将分析各个版本之间的改进。 SysWhispers是64 位系统生成了支持直接系统调用的头文件/ASM 文件植入。它支持从 Windows XP 到 Windows
阅读全文
摘要:一、介绍 什么是系统调用 Windows 系统调用(syscall)是程序与系统交互的接口,它允许程序请求特定服务,例如读写文件、创建新进程或分配内存,例如,当调用 WinAPI 函数 VirtualAlloc 或 VirtualAllocEx 时,会触发 NtAllocateVirtualMemo
阅读全文
