Jump to content
Sign in to follow this  
traitor

[vaccine bypass] : [백신우회]

Recommended Posts

백신의 우회는 악성코드의 고질적 문제점입니다.
 

정적/동적의 탐지를 피해, 피해자를 만드는 과정은 점점 고도화되어가고있으며, 이를 탐지하기 위해서 백신은 더 많은 기술을 도입하기 시작합니다.

저는 정/동적 탐지의 우회를 다룰까 합니다.

1. 정적분석우회
파일을 뜯어서 패턴/해쉬와 비교하는 방식입니다.

장점 : 정확합니다. 오탐률이 적습니다.
단점 : 변종을 못 찾아 낼 수 있습니다.

우회 방법 : 가능한 모든 상수값의 암호화/인코딩

2. 동적분석우회
실행파일이 어떤 함수를 로드하며, 함수의 인자값을 후킹하여 알아내는 방식입니다.

장점 : 정적분석으로 못찾아낸 악성코드를 찾아낼수있습니다.
단점 : 오탐이 있을 수 있습니다.

우회방법 : 파일리스공격, 스크립트사용, 다른 실행파일 드랍후 실행 등등..

Share this post


Link to post
Share on other sites

정적 분석 방식이 파일을 뜯어서 패턴/해쉬와 비교하는 방식이고 그 방식을 우회하는 방식이 가능한 모든 상수값의 암호화 또는 인코딩이라는 말씀이시죠??

 

Share this post


Link to post
Share on other sites

백신은 기본적으로 write에 대해서 검사를 진행하는데 동적분석우회방법에 파일드랍후 실행은 맞지 않는거 같내요

Share this post


Link to post
Share on other sites
Guest
You are commenting as a guest. If you have an account, please sign in.
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

×

Important Information

I have read and accept the above terms.