• 对抗杀软高级启发(主动防御)技术


    反检测技术之反病毒检测

    http://pferrie.host22.com/papers/antidebug.pdf

    https://paper.seebug.org/222/

    https://pentest.blog/art-of-anti-detection-1-introduction-to-av-detection-techniques/

    https://paper.seebug.org/264/

    https://pentest.blog/art-of-anti-detection-2-pe-backdoor-manufacturing/

    https://pentest.blog/art-of-anti-detection-3-shellcode-alchemy/

    Fun combining anti-debugging and anti-disassembly tricks

    http://blog.sevagas.com/?Fun-combining-anti-debugging-and

    AVLeak-Fingerprinting-Antivirus-Emulators-For-Advanced-Malware-Evasion

    https://www.blackhat.com/docs/us-16/materials/us-16-Bulazel-AVLeak-Fingerprinting-Antivirus-Emulators-For-Advanced-Malware-Evasion.pdf

    BypassAVDynamics

    http://blog.sevagas.com/IMG/pdf/BypassAVDynamics.pdf

    ps: 自己整理的代码

    沙盒绕过

    1. 检测cpu核心数 < 2;内存大小 < 2GB 退出

    2. 检测当前时间,是否小于当前(硬编码写入) 退出;(有效对抗kaba沙盒)

    3. 动态申请大量内存(少量多次申请,103*10MB);(延时在10+s,能有效绕过Norton沙盒)

    4.检测NtControlChannel函数 ; (谷歌工程师在调试MSE时发现的一个函数,利用这个可以检测到MSE)

    主动防御:

    由于是驱动层过滤,面对针对写启动项和注入拦截严格的杀软,可以根据杀软情况,采取不释放;不注入的方法。

  • 相关阅读:
    SOJ 3531_Number Pyramids
    TYVJ P1047 乘积最大 Label:dp
    TYVJ P1067 合唱队形 Label:上升子序列?
    TYVJ P1093 验证数独 Label:none
    TYVJ P1088 treat Label:鞭笞人的DP
    TYVJ P1008 传球游戏
    表达式系列问题
    数字三角形系列 系列问题
    TYVJ P1024 外星人的密码数字
    TYVJ P1056 能量项链 Label:环状区间DP
  • 原文地址:https://www.cnblogs.com/M4ster/p/art_of_anti_Detection.html
Copyright © 2020-2023  润新知