DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > CC防护 > 正文

ddos高防_高防游戏服务器租用_免费测试

01-12 CC防护

ddos高防_高防游戏服务器租用_免费测试

沙箱规避技术博客系列第2部分|第3部分|第4部分这篇文章是今天恶意软件所使用的沙盒规避技术系列文章的第一部分。在这篇初级读物之后,在接下来的文章中,我们将深入研究三大类规避技术的细节。10年前,ddos攻击原理及防御方法,恶意软件分析沙箱作为对付高级、持续性威胁的灵丹妙药变得流行起来。那时,恶意软件的作者已经找到了一些方法来逃避基于静态分析的工具(例如传统的杀毒软件产品),使用多态性、变形、加密、模糊处理和反反转保护等技术。因此,恶意软件分析沙箱现在被认为是抵御高级威胁的最后一道防线。沙盒的工作原理很简单——根据在受控环境中观察到的行为来判断文件是否恶意。沙盒允许恶意软件执行其所有恶意操作并记录结果行为。一段时间后,停止分析,并检查结果并扫描典型的恶意行为模式。由于检测不基于特征码,沙箱甚至可以检测零日和目标恶意软件(通常安全研究人员从未见过此类恶意软件,也从未在防病毒实验室进行过分析)。显然,基于行为的恶意软件检测只有在观察到的文件在其分析过程中实际执行恶意操作时才有效。无论出于什么原因,如果在分析过程中没有执行有害操作,沙盒将得出结论,cc防御五秒盾代码,即正在检查的文件是良性的。恶意软件作者总是在寻找新的、创新的方法,通过隐藏恶意软件的真实行为来逃避沙箱检测。我们将这些方法分为三类:沙盒检测:检测沙盒的存在(检测时只显示良性行为模式)开发沙箱缺口:利用沙箱技术或生态系统中的弱点或差距上下文感知恶意软件:使用基于时间/事件/环境的触发器(在沙盒分析期间未激活)沙箱检测第一种方法通过查找沙盒环境和真实受害者系统之间的细微差别来检测沙盒的存在。如果检测到沙盒,恶意软件通常会以两种不同的方式之一作出反应:要么立即终止(这本身就是可疑的),要么显示出非恶意行为,只执行良性操作。这里分析了一个例子,其中样本:尝试检测它是否正在虚拟机(VM)中运行查看是否有应用程序沙盒正在运行(在此沙盒中)图1:检测VM和Sandboxie我们可以在VMRay威胁标识符(VTI)中看到这一点,它显示VMRay识别了沙盒检测尝试,ddos怎么破防御,并将此行为评为高度恶意。挖掘沙盒缺口第二种方法直接攻击和利用底层沙箱技术或周围生态系统的弱点。例如,我们最近看到大量的恶意软件在内部使用microsoftcom,因为大多数沙盒无法正确分析此类样本。其他恶意软件将使用沙盒无法处理的模糊文件格式,或者它们利用沙盒无法处理超过特定大小的文件的能力。我们在这里发布了一个恶意软件规避非法使用的例子。这可能是一种有效的方法来隐藏依赖于注入目标机器的钩子或驱动器的分析器。但是,如何防御ddos么,由于VMRay不使用钩住,因此检测到逃逸企图并对其评分:图2:非法使用API上下文感知恶意软件第三类表示根本不试图检测或攻击沙盒的恶意软件。相反,它利用了这种自动化系统的固有缺点。由于在大多数环境中可以看到大量独特的恶意软件,沙盒分析系统通常只在每个文件上花费几分钟。因此,通过将恶意负载的执行延迟一定时间,恶意软件可以保持不被检测到。除了时间触发器,恶意软件还可以使用沙盒中通常不会发生的其他事件,例如系统重新启动或用户交互。或者,恶意软件可能正在寻找目标机器上存在的特定工件,java实现ddos防御,如我们在这里讨论的应用程序、定位设置等。在本例中,我们看到一个分析,其中恶意软件除了试图检测虚拟机环境外,还参与了"持久性",安装启动脚本和应用程序以避免重新启动:图3:沙盒规避可以通过在重新启动后幸存来完成我们将在接下来的一系列关于这些类别的博客文章中进行更详细的讨论,展示利用相关规避技术的恶意软件示例。想继续读书吗?查看第2部分,我们将深入研究三种类型的沙盒检测技术。附加链接:https://www.vmray.com/analysis/663306/report/overview.html://www.vmray.com/analysis/663313/report/overview.html端口:https://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=1009458https://www.blackhat.com/docs/asia-14/materials/Li/asia-14-Li-Comprehensive-Virtual-Appliance-Detection.pdf打破沙盒:https://www.exploit-db.com/docs/34591.pdfhttps://www.brokenbrowser.com/detecting-apps-mimetype-malware/https://www.symantec.com/avcenter/reference/Virtual_Machine_威胁.pdfhttps://www.vmray.com/blog/analysis-environment-sensitive-malware/关于Carsten WillemsCarsten博士是CWSandbox的最初开发者,CWSandbox是第一个商业恶意软件沙箱系统之一,后来改名为GFI sandbox和Threat Analyzer。他是创建动态恶意软件分析和检测企业软件的先驱,也是这一领域全球领先的专家之一。他于2013年在波鸿鲁尔大学获得计算机科学/信息技术安全博士学位,如今在恶意软件研究和软件设计方面拥有超过20年的经验。卡斯滕创立了几家公司,指导过许多网络安全初创公司,并定期出席学术和行业会议。他与联合创始人兼CTO Ralf Hund一起开发了独特的基于虚拟机监控程序的威胁检测技术,这是VMRay Analyzer的基础。

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: /ddos/61253.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 8165461访问次数
  • 建站天数

    QQ客服

    400-0797-119

    X