DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > CC防护 > 正文

服务器防御_游戏盾原理_免费测试

01-12 CC防护

服务器防御_游戏盾原理_免费测试

一种新的代码注入技术可以有效地绕过大多数分析和检测方法。多年来,代码注入一直是恶意软件作者最喜欢的技术。将恶意代码注入到其他良性进程中是一种有效的方法,可以将恶意软件从反病毒和沙盒检测中屏蔽。主机被用来绕过沙盒来躲避防火墙。通常,标准的MS-Windows进程在默认情况下应该在实时内存中运行,例如资源管理器.exe是目标。随着检测方法的改进,研究人员最近提出了一种新的代码注入技术的概念证明,他们称之为"Atombombing",因为它利用了Windows的Atom表。基于这一概念证明的编译代码似乎逃避了许多AVs和其他检测工具的检测。让我们看看VMRay Analyzer是如何成功检测代码注入和反分析尝试的。原子序贯分析"AtomBombing:全新的Windows代码注入"(TalLiberman)一文的作者也在GitHub上创建了一个"概念证明"。在编译github项目之后,它被上传到VMRay云,宝塔怎么防御ddos,ddos的攻击机制和防御措施,并带有一个说明(图1)。图1–上传"AtomBombing.exe"开了个处方。 为了准备分析环境,需要规定。在本例中,它在Windows上启动microsoftwordpad,这将是注入的受害者。很短时间后,生成了分析结果,免备案高防50g云防cdn,给出了VTI(VMRay威胁标识符)的85/100分-非常恶意。在报告的分析概述部分,过程图清楚地显示了向Microsoft写字板注入代码(图2)。VTI详细信息中显示的检测到的恶意行为也证实了这一点。它通过修改另一个进程的控制流来显示代码注入(图3)。图2显示了微软写字板的注入过程。图3——修改另一个过程的控制流。为了验证新的注入技术,我们必须查看GlobalAddAtom和GlobalGetAtomName函数以及ROP链的函数日志,这篇博客文章对此进行了详细描述。"Atom"函数用于在进程间内存中写入和读取外壳代码和ROP链(图4)。图4–写入/读取外壳代码的GlobalAddAtom和globalgeStatomName函数。ROP链分配读写可执行内存,将外壳代码复制到这个内存空间并执行它。为了执行ROP链,它将作为一个异步过程调用与ntqueueapthread函数一起排队(图5)。图5-将ROP链作为异步过程调用排队。之后,我们将看到微软写字板外壳代码的执行情况,这将打开MS Calculator(图6)。请注意,VMRay Analyzer不会报告与写字板执行的无害方面相关的虚假信息,而只报告与外壳代码相关的信息。这对于确保分析员能够专注于特定于威胁的信息非常重要。图6–从Microsoft写字板执行外壳代码。结论这种新的AtomBombing注入技术是一个聪明的主意,因为不需要像"VirtualAlloc"或"CreateRemoteThread"这样的高度监视的Windows函数。但要使该技术正常工作,目标进程必须至少有一个线程处于可警报状态,否则将永远不会执行异步过程调用。无论如何,尽管VMRay Analyzer能够有效地避开AV检测,但它完全捕获所有恶意活动并在反分析尝试时发出警报。访问完整的分析报告参考文献:https://breakingmalware.com/injection-technologies/atombombing-brand-new-code-injection-for-windows/http://vmray.com/analysis/729127/report/overview.html关于Ralf HundRalf博士于2013年在波鸿鲁尔大学获得计算机科学/信息技术安全博士学位。在他的研究期间,彩云美国高防cdn,ddos攻击防御过程,他专注于软件二进制文件的新分析方法,特别是恶意软件。他的研究成果发表在许多领先的学术IT安全会议上,并因杰出的工作而获得多个奖项。此外,拉尔夫还参与了一些沙盒技术的设计和开发。他在恶意软件研究方面拥有超过10年的经验,并在各种学术和工业会议上积极发言。他的特殊兴趣在于虚拟化技术及其在软件分析中的应用。

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: /ddos/61245.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 8164454访问次数
  • 建站天数

    QQ客服

    400-0797-119

    X