已经启动了新的恶意软件规避百科全书,可深入了解恶意软件用来检测其是否在虚拟环境中运行的各种方法。
为了逃避安全研究人员的检测和分析,恶意软件可以检查其是否在虚拟化环境下运行,例如VirtualBox和VMWare中的虚拟机。
如果这些检查表明它正在VM中运行,则该恶意软件将根本不会运行,在某些情况下,请删除自身以防止分析。 热门文章2/5阅读更多How to Pause Windows 10 Automatic Updates To Avoid Critical Bugs
恶意软件逃避百科全书
恶意软件规避百科全书由Check Point Research创建,分为恶意软件用来检测其是否在虚拟机下运行的各种信息类别。
虽然共享此信息可能使恶意软件作者可以学习一些新技术,但Check Point认为,信息安全社区的价值远远超过了对恶意软件开发人员的任何好处。
Check Point Research告诉BleepingComputer:“与社区共享的价值远大于恶意软件作者使用此工具的风险。”
百科全书中列出的技术的当前部分为:
Filesystem Registry Generic OS queries Global OS objects UI artifacts OS features Processes Network CPU Hardware Firmware tables Hooks macOS
在每个部分的内部都有代码片段,这些片段说明了恶意软件如何确定其是否在虚拟环境下运行以及建议的对策以击败这些检查。
例如,“进程”部分显示了恶意软件如何检查 VM使用的某些进程,“固件表”部分说明了恶意软件如何在BIOS中查找某些字符串, “通用操作系统查询”部分列出了 常见的用户名。找了。
当我们询问Check Point是否计划进一步更新百科全书时,他们告诉我们他们将继续这样做,并欢迎信息安全社区的意见。
“我们计划维护这一点。实际上,该网站只是GitHub帐户包含所有信息的“面孔”。任何人都可以提交拉取请求并添加自己的技术(如果发现了这一点),因此,百科全书可以成为有价值的工具,希望这将有助于我们的社区领先于坏人。” Check Point回应我们。
如果您要构建用于进行恶意软件分析的虚拟机,或者只是想了解恶意软件如何逃避检测,那么Check Point的百科全书是一个不错的起点。
本文为转载文章,源自互联网,由网络整理整理编辑,转载请注明出处:https://www.hacksafe.net/articles/network/2017.html
请登录后发表评论
注册