测试环境

微步云沙箱

1.静态分析(详情去看云沙箱)

放本地虚拟机环境

火绒(静态分析强)->360->天擎->卡巴斯基

ps.mimikatz

查看病毒名称

image-20241013152013679

image-20241013152054539

image-20241013162647976

image-20241013162246832

被前缀匹配到优先更改特征码,改一些字节什么的,暂时不需要混淆行为

杀软的查杀方式

静态分析

image-20241013152412965

特征码查杀,库存匹配

image-20241013152744196

360QVM技术,测木马最好不联网

virtest定位特征码,修改样本

strings查找可识别字符串(未被混淆的)

pestudio看熵值混淆程度高不高

studyPE+

image-20241013153913698

动态分析

image-20241013154255761

检测目标环境有没有微信,有微信就不是沙箱

API hook 技术为主要对抗焦点,unhook,不要被杀毒软件监视

image-20241013163403029

主要规避后两项

行为分析

image-20241013154701214

image-20241013154858352

杀软致盲

模拟杀毒软件绕过 defender,让杀毒软件致盲

wsc

QVM对抗

image-20241013155118367

其他分析

image-20241013163459768