详细内容或原文请订阅后点击阅览
恶意软件中的加壳程序和加密程序及其删除方法
在本文中,我们将探讨最常见的保护程序类型——打包程序和加密程序,以及检测和删除它们的简单方法。我们还将介绍一些有用的工具来简化流程并提高您的恶意软件分析技能。什么是保护程序以及有哪些类型?保护程序是旨在使代码分析复杂化的工具,使 […]The post Packers and Crypters in Malware and How to Remove Them appeared first on ANY.RUN's Cybersecurity Blog.
来源:ANY.RUN _恶意软件分析恶意软件中的包装工和克里普特以及如何删除
在本文中,我们将探索最常见的保护者类型(包装器和克里普特),并以简单的方法来检测和删除它们。
我们还将引入一些有用的工具,以简化流程并提高您的恶意软件分析技能。
什么是保护者,有哪种类型?
保护器是旨在使代码分析复杂化的工具,因此很难检测和检查恶意软件。最常见的两种保护器类型是包装工和克里普特。
包装工 crypters1。Packers
包装工是将一个或多个文件包装到一个可执行文件中的实用程序,通常会增加压缩。此过程使静态检测更加困难,这是一种策略,多种恶意软件利用。
某些恶意软件,例如用脚本语言(例如Python或JavaScript)编写的恶意软件或依靠非标准库,都需要包装来通过包括口译员和必要的库来正常运行。
包装工的经典示例包括NSI和MSI,UPX,MPRESS以及使用7zip或Winrar等工具制成的自我提取档案(SFX)等安装程序。
包装工通常不保护应用程序数据,因此在运行时在沙箱中提取它们或使用静态工具删除包装器相对容易。
2。crypters
crypters通过加密可执行文件的内容来进一步保护,通常会添加包装和混淆层。 Crypter旨在模糊代码,使分析更加复杂和耗时。 Crypters的例子包括NetReactor,Themida和Vmprotect。
Crypters的主要保护方法:
- 动态解开内存中的包装,以避免留下任何磁盘跟踪。
- 在运行时使用文件,数据和代码的加密。
- 代码混淆:更改指令的结构和顺序,将(META)数据转换为不可读取或毫无意义的字符。