详细内容或原文请订阅后点击阅览
分析受 Themida 和 VMprotect 保护的恶意软件:真的那么难吗?
恶意软件作者使用 Themida 和 VMProtect 等保护程序,希望它们能够完全阻止分析师逆转样本。这些保护程序可以使用复杂的技术来隐藏恶意功能:代码虚拟化、混淆、反调试、压缩和加密。(我们将在本文后面看到为什么我们说“可以”。)那么,Themida 和 VMProtect 真的总是 […]分析受 Themida 和 VMprotect 保护的恶意软件:真的那么难吗?首先出现在 ANY.RUN 的网络安全博客上。
来源:ANY.RUN _恶意软件分析分析使用themida和vmprotect保护的恶意软件:真的很难吗?
恶意软件作者使用Themida和Vmprotect这样的保护者,希望他们完全阻止分析师逆转样本。
这些保护器可以使用复杂的技术来隐藏恶意功能:代码虚拟化,混淆,反欺骗,压缩和加密。 (我们将在稍后在文章中看到为什么我们说“可以”。)
加密那么,themida和vmotect是否总是总是阻止从恶意样本中提取有趣的东西,例如C2服务器,字符串或可分析的代码?
为了回答这个问题,我们将分析使用Themida和vmotect的不同家庭的恶意软件样本,并比较它们使用的特定保护机制。
研究结果
我们的分析非常详细,因此,为了使其更容易跟上,我们将采取一种不寻常的方法并从结果开始。
下表显示了我们针对六个恶意软件系列的发现 - 所有这些都使用保护器。该表将它们从最少排名至最难分析。