DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > WEB安全 > 正文

网站防御_ddos防护系统_指南

11-08 WEB安全

网站防御_ddos防护系统_指南

以下报告由SophosLabs的安卓专家陈宇(音)在Android团队成员William Lee、Jagadeesh Chandraiah和Ferenc LászlóNagy的支持下撰写。随着Android恶意软件数量的增长,当涉及到用来躲避用于动态分析的仿真器的技术时,它遵循了Windows对手的每一步。在这篇博客文章中,我们将展示一些反仿真器技术。仿真器是允许一台计算机(主机)模拟另一台计算机(来宾)的硬件或软件。它通常允许主机系统运行软件或使用为来宾系统设计的外围设备。在安全性方面,这是测试恶意软件行为的一种便捷方法,cc可以被防御吗,这就是恶意软件创建者想要破坏它的原因。反仿真技术在许多不同的Android恶意软件家族中都有发现,联盟集群ddos防御系统,其中之一就是googleplay中最近发现的Android Adload广告软件。在此基础上,SophosLabs发现了六种常见的反仿真器技术:1.检查电话服务信息仿真器检测就是找出仿真器和真实设备提供的环境之间的差异。首先,仿真器上的设备ID、电话号码、IMEI和IMSI与实际设备上的不同。在Android.os.TelephonyManager类提供获取信息的方法。应用程序可以使用此类中的方法来确定电话服务和状态,访问某些类型的订户信息,并注册侦听器以接收电话状态更改的通知。例如,ddos与防御相关的论文题目,它可以使用getLine1Number获取第1行上的电话号码。在仿真器上,它的端口号是1555521。如果端口号为5554,则返回值将为15555215554。Andr/RuSms AT使用此代码检测仿真器: 2.检查构建信息我们发现多个恶意软件家族正在检查生成信息以确定它是否正在模拟器上运行。例如,此银行家恶意软件具有以下反仿真器代码(单击放大):字符串是加密的。解密后,它会检查:ctx.getSystemService("phone").getDeviceId().equals("000000000000000")Build.MODEL.contains("谷歌sdk")Build.MODEL.contains("模拟器")Build.MODEL.contains("安卓SDK")Build.FINGERPRINT.startsWith("通用")Build.FINGERPRINT.startsWith("未知")Build.MODEL包含("为x86构建的Android SDK")Build.MANUFACTURER.contains("起源")Build.BRAND.startsWith("通用")&Build.DEVICE.startsWith("通用")上述函数由广播接收器调用。在应用程序清单中,此接收器被定义为接收android.intent.action.BOOT_已完成并且android.intent.action。屏幕打开。这意味着每次启动手机并从睡眠中醒来时都会调用它。这是恶意软件发起恶意行为的常见场所。但是如下所示,如果仿真器检查函数返回"True",这个恶意软件将不会做任何事情 3.检查系统属性另一种方法是检查系统属性。仿真器上的某些系统属性与实际设备上的不同。例如,设备品牌、硬件和型号。下表显示了仿真器上的一些系统属性值:财产值指示模拟器反渗透引导程序未知反渗透启动模式未知反渗透硬件金鱼反渗透产品型号Sdk开发包反渗透产品装置通用反渗透产品名称Sdk开发包4.检查模拟器相关文件是否存在。这是在恶意软件样本中发现的另一种技术。它们检查QEMU(快速仿真器)或其他与仿真器相关的文件是否存在。例如,这段代码是在Andr/Pornclk变体中找到的 5.检查调试器和安装程序这不是一个反仿真器,但它的目的也是阻碍动态分析。像这个斯金纳广告软件报告的检查站,它使用Debug.isDebuggerConnected已连接()和调试.waitingForDebugger()以检查调试器是否存在。更有趣的是,它还使用getInstallerPackageName获取安装程序,并查看它是否由googleplay安装(com.android.vending网站)。因此,如果像大多数分析师一样,将程序安装到adb的设备上,应用程序将无法工作。6。定时炸弹这是许多恶意软件/广告软件家族在动态分析中隐藏自己的另一种方式。安装完成后,它们将等待一段时间,路由器ddos防御过滤广播包,直到它们开始活动。例如,在广告软件示例中可以看到以下配置文件:"设置":{"附加费":180000,"FirstAddLay":86400000,"解锁延迟":2,"班纳德莱":18万,"bannerPreDelay":10000,"旗帜日":25},firstaddlay是在第一个广告发布之前的毫秒,在本例中是24小时。这也可以防止用户产生怀疑。我们相信Android恶意软件和广告软件编写者将继续在他们的代码中加入反仿真技术,ddos攻击类型防御,因为到目前为止,他们已经取得了相当程度的成功。安全公司必须用更好的检测方法来匹配它们。参考文献:https://github.com/strazzere/anti-emulator

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: /web/51644.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 6958922访问次数
  • 建站天数

    QQ客服

    400-0797-119

    X