DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > 高防服务器 > 正文

香港高防ip_ddos怎么防御_免费试用

香港高防ip_ddos怎么防御_免费试用

在我们最近的博客文章"用COM对象进行盲目恶意软件分析"中,我们谈到了使用微软的组件对象模型(COM)来规避沙盒分析的恶意软件的稳定趋势。COM可以用于执行隐形操作的原因是,传统的动态分析系统通过拦截对WinAPI、NativeAPI或系统调用层的调用来监视程序行为。不幸的是,这些调用都没有直接反映COM方法调用。此外,COM方法的实际执行可能发生在不同的(远程)进程中,几万条cc攻击怎么防御,并且很难将其与发出线程关联起来。这使得传统沙盒很难监视COM活动,尤其是,为了重建所分析代码段的原始高级语义,我们在COM-Evasion上的第一篇文章中简要介绍了COM,并介绍了VMRay Analyzer生成包含每个COM活动的细粒度函数日志的能力。在这篇博客文章中,我们现在通过深入了解不同的COM利用率来说明这种独特的监控方法的威力。我们感谢Hexacorn的Adam为我们提供了更多关于野外COM恶意软件的信息和样本。他之前已经在一篇相关的博客文章中提到了我们的一些COM例子。COM活动的通用表示VMRay Analyzer为每个分析的恶意软件生成广泛的分析数据。例如,它提供屏幕截图、内存转储、网络pcap以及所有删除或修改的文件的副本。然而,最重要的信息是被监视的行为数据,它包含恶意软件与系统任何其他部分(例如操作系统本身或其他正在运行的进程之一)之间的每次交互的信息。这种行为数据以不同的抽象层和不同的格式提供。在最底层,它包含一个全面的函数日志,其中包含每个函数调用及其输入和输出参数。从这些细粒度的低级数据中,创建了一个通用日志,它从特定的API和参数格式中抽象出来。相反,一切都是标准化和规范化的,允许创建和应用灵活的规则,不再需要考虑任何系统细节。此上下文中的三个可用操作如下图所示,并在下表中进行了描述。CREATE:在使用COM对象之前,它需要被实例化。通过调用适当的API(如CoCreateInstance),将返回指定类的未初始化COM对象,ddos防御哪个好,并提供该对象的接口。通用日志显示类名(如果类名未知,则显示CLSID)、指定的接口和有关应用的COM上下文的其他信息。查询:由于COM类可能提供多个接口,因此可以使用API QueryInterface查询其他接口。毫不奇怪,通用日志显示类名、源接口和新查询的接口。方法:泛型方法操作覆盖所有其他COM活动。对于每次调用,日志将显示COM类的名称、接口的名称和被调用的方法。进一步的细节(例如所使用的方法参数)可以通过参考函数日志中相应的低级数据来获得。另一个方法的调用,也可以使用它来返回某个方法的调用结果。恶意软件对COM的疯狂利用恶意软件对COM的利用越来越普遍,并被用来完成不同的任务。我们在这里展示一些常见的例子,并详细介绍它们是如何工作的,以及如何使用VMRay Analyzer快速分析它们。类链接几乎所有恶意软件的一个关键目标是获得持久性,即能够在重启后自动重启。这有几种方法可以实现,其中一种方法是在用户的autostart文件夹中放置一个链接到恶意软件文件的快捷方式。要通过COM实现这一点,可以使用ShellLink类。下图给出了必要操作的高级概述:创建对象后,需要通过调用SetPath方法来指定快捷方式的目标路径。之后,SetDescription用于指定结果快捷方式的名称。最后,查询IPersistFile接口,然后通过调用Save方法将快捷方式实际存储在用户的autostart文件夹中,下图显示了包含所有参数的详细函数调用。我们可以很容易地看到恶意软件如何创建快捷方式C:UsersUserAppDataRoamingMicrosoftWindowsStart MenuProgramsStartupTest.lnk链接到C:WindowsSystem32小算盘. 请注意,第一个示例取自一个PoC示例,该示例仅演示功能,而不实际执行任何恶意负载。TaskScheduler COM类另一种实现持久性的方法是使用Windows任务调度器,它能够在预定义的时间或指定的时间间隔后自动启动程序或脚本。Qadars Banking特洛伊木马程序使用此技术。下面的图显示了COM相关操作的高级表示,这是预期功能的良好概述。在以下已执行COM操作的低级视图中,ddos防御50g要多少肉鸡,可以看到恶意软件是如何进行的:创建在每次启动时激活的触发器(类型0x9=TASK\u trigger_LOGON),设置与任务关联的用户,最后将要启动的文件设置为C:usersuserappdataroamingipsdqszhlczpdrTXhGsQzeUDbAKwUrgQ.exeMSDN上描述了这种持久性技术的更详细的描述。WMI COM类恶意软件"盲"沙箱的一个非常强大的方法是利用Windows Management Instrumentation(WMI)。WMI为操作系统提供一个接口,用于编写管理任务脚本和查询各种系统设置。在实现方面,WMI可以用许多不同的方式使用,例如直接从VBasic脚本、Javascripts,get攻击怎么防御cc,以及通过COM。在我们的最后一个例子中,我们展示了一个利用WMI来获取底层系统上安装的防病毒软件列表的恶意软件。IWbemServices类是访问WMI的主接口,其ExecQuery方法用于请求更多指定的服务或信息。WMI方法的一般过程和实际执行的查询("SELECT*FROM AntiVirusProduct")可以分别从通用和详细的低级输出中轻松收集:COM接口继承由于继承性,可以通过一个接口使用某些COM方法,该接口最初由它的任何父级提供。在生成的分析中,防御ddos费用,VMRay Analyzer始终引用实际实现某个方法的接口,而不是在运行时使用的接口。这为系统内部如何工作提供了一个更好的视图,并简化了对最初预期语义的理解。为了便于演示,请查看以下代码片段:将创建具有不同接口(IWebBrowser、IWebBrowser2、IWebBrowserApp和IShellLink)的InternetExplorer类的前四个实例。然后使用IWebBrowser界面导航到,然后使用IWebBrowser2导航到。在这两种情况下,内部调用的Navigate方法都是由IWebBrowser实现的,在第二种情况下只能由IWebBrowser2从中继承。因此,在下面的通用日志中,您可以看到两个Navigate方法的调用,都是使用IWebBrowser接口(注意对应行中的数量是2),之后,get_Visible和put_Visible方法是通过IWebBrowser2调用的。同样,这两个函数都是继承的,最初由IWebBrowserApp接口提供。在下面的日志中对应的get_Visible和put_Visible再次相应地表明了这一点:关于Ralf HundRalf博士于2013年在波鸿鲁尔大学获得计算机科学/信息技术安全博士学位。在他的研究期间,他专注于软件二进制文件的新分析方法,特别是恶意软件。他的研究成果发表在许多领先的学术IT安全会议上,并因杰出的工作而获得多个奖项。此外,拉尔夫还参与了一些沙盒技术的设计和开发。他在恶意软件研究方面拥有超过10年的经验,并在各种学术和工业会议上积极发言。他的特殊兴趣在于虚拟化技术及其在软件分析中的应用。

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: /ddos/61279.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 8169150访问次数
  • 建站天数

    QQ客服

    400-0797-119

    X