Malware Analysis: A Kernel Land Rootkit Loader for FK_Undead
我们发现了恶意软件家族 FK_Undead 的 Windows rootkit 加载程序 [F1]。该恶意软件家族以通过操纵代理配置拦截用户网络流量而闻名。据我们所知,rootkit 加载程序之前尚未被正式分析过。根据任何 Windows 内核驱动程序的要求,rootkit 加载程序已使用 Microsoft Windows 硬件兼容性发布者证书有效签名(参见指纹 [T1])。它与不同的 Windows 版本兼容并受 VMProtect 保护。
Analyzing Malware Protected with Themida and VMprotect: Is It Really That Hard?
恶意软件作者使用 Themida 和 VMProtect 等保护程序,希望它们能够完全阻止分析师逆转样本。这些保护程序可以使用复杂的技术来隐藏恶意功能:代码虚拟化、混淆、反调试、压缩和加密。(我们将在本文后面看到为什么我们说“可以”。)那么,Themida 和 VMProtect 真的总是 […]分析受 Themida 和 VMprotect 保护的恶意软件:真的那么难吗?首先出现在 ANY.RUN 的网络安全博客上。
Analyzing Malware Protected with Themida and VMprotect: Is It Really That Hard?
恶意软件作者使用 Themida 和 VMProtect 等保护程序,希望它们能够完全阻止分析师逆转样本。 这些保护程序可以使用复杂的技术来隐藏恶意功能:代码虚拟化、混淆、反调试、压缩和加密。 (我们将在文章后面看到为什么我们说“可以”。)那么,Themida 和 VMProtect 真的总是[…]帖子分析受 Themida 和 VMprotect 保护的恶意软件:真的那么难吗?首次出现在 ANY.RUN 的网络安全博客上。
