摘要： 一、介绍 NTDLL 解除挂钩是将加载进程中的钩子 DLL 替换为未更改的未钩子版本，用未挂钩的版本替换挂钩的 DLL 需要手动设置 IAT、修复重新分配和其他繁琐的任务。为了避免这种情况， .text 可以替换 DLL 的一部分，特别是包含挂钩的部分。文本部分包含 DLL 的导出函数代码，这是安装 阅读全文

摘要： 一、什么是edr 终端检测与响应（EDR）是一种安全解决方案，可检测并响应勒索软件和恶意软件等威胁。它通过持续监控端点可疑活动来工作，方法是收集有关事件的数据，如系统日志、网络流量、进程间通信 (IPC)、RPC 调用、身份验证尝试和用户活动。 安装在端点上的 EDR 将收集数据，然后分析并关联它们 阅读全文

摘要： 一、介绍 信息论熵 指的是数据集中随机性的程度，随机性程度增加，熵值也随之增大。各种类型的熵度量标准，如吉布斯熵、玻尔兹曼熵和雷尼熵。然而，在网络安全领域，熵通常指的是香农熵，它产生 0 到 8 之间的一个值。随着数据集中随机性级别的增加，熵值也会增加。 恶意软件二进制文件通常具有高于普通文件的高熵 阅读全文

摘要： 一、延迟执行介绍 延迟执行是一种常见的技术，用于绕过沙盒环境。沙盒通常具有时间限制，会阻止它们长时间分析二进制文件。因此，恶意软件可以在代码执行中引入长时间的暂停，迫使沙盒在能够分析二进制文件之前终止，如果恶意软件样本在解密和执行有效负载之前执行一个等待函数三分钟，那么分析时间限制为两分钟的沙盒将无 阅读全文

摘要： 一、通过硬件规格实现反虚拟化 一般来说，虚拟化环境无法完全访问主机的硬件。恶意软件可以利用对硬件缺乏完全访问权限来检测它是否在虚拟环境或沙箱中执行。请记住，无法保证完全准确，因为机器可能只是以较低的硬件规格运行。将检查的硬件规格如下： CPU — 检查处理器数量是否少于 2 个。 RAM — 检查是 阅读全文

摘要： 一、介绍 反分析技术是防止安全分析师分析恶意软件、查找静态或动态签名和 IoC 的措施。因为这些信息用于在下一次在环境中发现它时检测样本，恶意软件分析师会通过分析可疑二进制文件收集数据。一般来说，恶意软件分析师总是会找到逆向工程恶意软件的方法，因此反分析技术的目标是让分析过程更加耗时。 二、实现 ( 阅读全文

摘要： 一、介绍 SysWhispers 是一个通过直接系统调用绕过系统调用钩子的工具。SysWhispers 有多个版本，具有不同的特性。本文将分析各个版本之间的改进。 SysWhispers是64 位系统生成了支持直接系统调用的头文件/ASM 文件植入。它支持从 Windows XP 到 Windows 阅读全文

摘要： 一、介绍 什么是系统调用 Windows 系统调用（syscall）是程序与系统交互的接口，它允许程序请求特定服务，例如读写文件、创建新进程或分配内存，例如，当调用 WinAPI 函数 VirtualAlloc 或 VirtualAllocEx 时，会触发 NtAllocateVirtualMemo 阅读全文

摘要： 一、介绍 开源hook库已被用于实现 API 挂钩。然而，这种方法的一个主要问题是这些库的源代码是公开可用的，使得安全研究人员和安全产品供应商可以很直接地构建 IoC。因此，本文将手动实现 API 挂钩，虽然不如前面演示的库复杂，但足以在没有 IoC 的情况下实现预期结果，如果只想挂钩单个函数，自定 阅读全文

摘要： 一、介绍 API hook（钩取）是一种用来拦截和修改 API 函数行为的技术。它常用于调试、逆向工程和游戏作弊。API 钩取涉及用一个自定义版本替换 API 函数的原始实现，该自定义版本在调用原始函数之前或之后执行一些附加动作。这允许人们在不修改程序源代码的情况下修改其行为 。 1.1 Tramp 阅读全文