DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > WEB安全 > 正文

服务器高防_怎么防御cc_零误杀

06-11 WEB安全

过去,由于Windows平台的大规模应用,Windows可移植可执行文件(PE)格式被广泛分析。相比之下,Mach-O二进制格式(macosx、IOS和其他基于Mach的系统使用的可执行文件格式)受到的关注要少得多。这部分是由于相对缺乏针对Mach-O平台的恶意软件和取证活动。随着苹果操作系统的普及,这种情况正在发生变化。几周前卡巴斯基的伟大发布了一份关于ekoms的马赫-O变体的报告间谍软件。那里有许多方法可以找到类似的PE文件,如下所述。这篇文章描述了一种寻找相似马赫数的新形式文件。那个Mach-O可执行文件格式与windowspe格式相似,ddos攻击防御过程,但明显不同。对于初学者来说,Mach-ofat文件可以在一个包中包含多个架构的二进制文件,如图1中格式的简单概述所示。在Windows PE格式中,ddos防御是什么意思,有多个PE节,可以通过编译程序。图1: 简化的Mach-O FAT文件格式fireye在2014年发布了Import Hashing作为分析Windows PE文件使用的Windows应用程序接口(API)函数的工具。不久之后Imphash就被集成到了VirusTotal平台中,并且一直是分析师们最喜欢的旋转工具从那以后。虽然Anomali实验室正在试验许多不同的散列方法来帮助分析Mach-O二进制文件,大多数散列的形式被发现是非常脆弱的。当我们了解了Mach-O格式之后,我们意识到当前的片段没有一个与windowspeimphash的1:1匹配,也没有任何一个比它强大方法。异常实验室使用了开源库,比如CRITS的"macholib"和"machinfo"。Macholib提供了一个API调用来检索不同MachO段的散列。因为每一段都有大量的剖面。CRITS的machinfo库提供了一个易于使用的接口来检索Mach-O部分散列。这种技术比分段散列法效果更好,但由于马赫-O截面的多样性和位置的广泛性,很好地比较截面是复杂的。另外,语义相同的部分可能会导致不同的哈希值,免费的ddos防御,因为剖面图2: Symhash代码Symhash遵循与ImpHash相同的方法,但对于Mach-O可执行文件。使用CRITS machinfo库,我们从每个Mach-O实体(即Mach-O FAT文件中每个体系结构的二进制文件)检索符号表。然后对于每个符号,我们检查它是否是"外部"符号,也就是说,在外部库中解析的符号,以及n_类型0x00。然后,我们将该字符串附加到一个列表中,最后创建该外部引用列表的md5哈希值符号symhash允许分析员找到共享完全相同的外部引用符号集的其他可执行文件。symhash在与imphash相同的情况下失败。这个包括:程序功能简单,几乎没有动态/外部图书馆。打包程序。由于可执行代码的可执行性和可执行性的限制,ddos云防御买,可执行文件的可执行性和可执行性受到了广泛的限制。(插入链接)有些情况下程序引用相同的动态/外部图书馆。在我们的expirement,一个包含1140个文件的语料库产生了多个不同的段、节和符号表哈希。在比较测试中,符号表哈希被证明在连接文件时更有用。在1140个Mach-O文件中,有1450个实体产生了586个唯一的符号表散列。这些符号表中有许多是在潜在的不需要的应用程序和广告软件中找到的,它们构成了Mach-O AV触发软件的绝大多数。下表1中确定的一组恶意软件,具有9190c790e64040beacfd05402ad85e0e的符号哈希,与网络相对应老鼠。恶意软件SHA1哈希符号表MD5本次共8383834252374A3C605E139790A43487153C2804E9190C790E94040707070707DBA0E79190C79040490C9190E9190E9190070707DBA0E79190C790E644040两个以05402AD85E36F9621E49E4908D5E85BB913E5D09859190C790E640405EF9621E499E85BB915E85BB915D09859190C79040404040404040505e05E52A6A6A3999号为89042D3A3769F171716650E9190C7904040号为05400号为0540E6552A6一号的一号为一次,该次为该次2AD85E0EC74192554222D915329BE67B4630C7110199226E9190C790E6404B0EAcfd05402ad85eTable 1:共享9190c790e6404beacfd05402ad85e0e的符号哈希的NetWire RAT示例如果您希望在分析中使用symhash,请查看我们新的开源(MIT许可证)库和命令行工具https://github.com/threatstream/symhash/。欢迎反馈和请求。关于作家谢尔米里亚隆开始在安全领域的工作后,他负责的机器在2004年的斯塔卡托入侵。在这一点上,他去了卡内基梅隆大学海因茨信息保障学院的研究生院,防御ddos攻击s高防评价,目前他在那里担任一个兼职职位,教授网络安全分析。他曾是软件工程研究所CERT/CC initiative和Dell SecureWorks的安全研究员,专注于应对和分析威胁情报。

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: http://www.ddosgb.com/web/60050.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 8032430访问次数
  • 建站天数

    DDOS防御

    ddos防御

    cc防护

    web安全

    高防服务器

    高防cdn


    QQ客服

    400-0797-119

    X