iT邦幫忙

2025 iThome 鐵人賽
DAY 4
0
自我挑戰組

30天的資訊安全讀書筆記系列 第 4

Side Blue - Anti-Reverse Technique

17th鐵人賽
112 瀏覽

  • 分享至 

  • xImage
    •  
  • Check Debugger - 尋找與除錯工具相關的程序或檔案,或者透過硬體層面(例如偵測硬體中斷點)來檢查是否有除錯器存在。
    • Windows API - IsDebuggerPresent - 偵測是否正在被除錯
    • Suspend Thread - 偵測到特定行為就將該程式pause掉使其無法正常運作
  • VM Detect - 會查看現在運行的環境是否為VM來決定動作,可能會僅執行部分功能、自毀(刪除自身或覆寫其部分程式碼)、破壞系統(如刪除或加密檔案)或不執行
    • Process - 查看目前環境是否有執行特定檔案
      • VMware:vmtools
      • VirtualBox:vboxservice
    • Software - 查看目前環境是否有安裝特定軟體(如Debugger)
    • MAC - 藉由查看是否為固定開頭的MAC位置來偵測是否為VM(VM廠商的OUI)
    • Resource - 查看電腦所配置的硬體配置如RAM,來判斷是否為VM
    • Other device - 查看環境上是否有新增其他裝置,如無則有可能為VM
    • Domain Membership - 查看是否有AD來判斷是否為VM
  • Obfuscation - 使用不同方式或技術使程式變得難以分析
    1. 使用其他編碼
    2. 使用加密
    3. 使用如(更改程式碼語法與結構、將函數重新命名、將程式碼分割到多個檔案或區段中)等技巧
  • Hash Changing - 透過修改一小部分程式碼使Hash值變更,以防止被用特徵來被辨別
  • Runtime Loading DLLs - 執行過程中再import DLL以防止在靜態分析階段被辨識。
  • Packing - 加殼使其內容無法用debugger分析
    • 常見:UPX
    • 查看甚麼殼:Detect it Easy, Exeinfo PE
    • 解殼:
      • 自動:unpacme
      • 手動:x86dbg

上一篇
Side Blue - 惡意程式行為與常見API
下一篇
Side Blue - Phishing
系列文
30天的資訊安全讀書筆記30
  1. 26
    Actions on Objectives 與其他補充
  2. 27
    Side Red - Metasploit
  3. 28
    Side Red - Burp Suite
  4. 29
    Side Red - Privilege Escalation In Windows
  5. 30
    Side Red - Privilege Escalation in Linux
完整目錄
圖片
  熱門推薦
圖片
{{ item.channelVendor }} | {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言
iThome鐵人賽
參賽組數
902
團體組數
37
累計文章數
19859
完賽人數
528
iT+看影片追技術 看影片追技術 看更多
熱門tag
15th鐵人賽 16th鐵人賽 13th鐵人賽 14th鐵人賽 17th鐵人賽 12th鐵人賽 11th鐵人賽 鐵人賽 2019鐵人賽 javascript 2018鐵人賽 python 2017鐵人賽 windows php c# linux windows server css react
熱門問題
熱門回答
熱門文章
IT邦幫忙