The Antivirus Hacker's Handbook 读书笔记
2015-11-08 21:36
531 查看
The Antivirus Hacker's Handbook
fm库:从Linux版获得symbols应用于Windows版调试?
IDA插件Diaphora:利用Hex-Rays生成的AST进行2棵语法树的比较(靠)/Zynamics Bindiff
启用内核调试:bcdedit /debug on
WinDbg:.sympath srv*http://msdl....
.reload
>!process 0 0
fuzzer:Linux上更适合自动批量运行(QEMU, KVM, VB, VMWare)
e.g. 连接到Avast:/var/run/avast/scan.lock
IDA可以导出本地定义到.h头文件?这个功能不错。Comodo?
Plugins
Kaspersky:更新格式COFF + 自定制的linker(靠)
启发式:贝叶斯网,布隆过滤器,Weights-based(行为打分?)
Scanners(必须是内核驱动)
Non-native代码
例. Symantec GVM, 'AVME AV', Themida/VMProtect(随机生成VM?)
Emulators
签名
CRC
密码学hash
Fuzzy hash:SpamSum, ssdeep, DeepToad
基于图的:Call/Flow
Pyew/GCluster
Update系统
Evasion
抗disasm:SSE, 3D Now!, MMX, VMX, AVX, XOP, FMA(Intel的变态指令集)
Anti-attaching
自动化Anti-scanner
MultiAV
PeCloak.py
EasyHook / Detours:Userland bypass,原理: 改写prologue部分
识别Attack Surface
ACLS ~WinObj
ASLR/DEP
国产软件的缺陷:Rising, Liebao(截屏扩展)
DoS
Compression Bombs:dd if=/dev/zero bs=2048M count=1 | bzip2 -9 > 1.bz2
Bugs in File Format Parsers
SA(静态分析)
事实标准:IDA's FLIRT
DA
Fuzzing(基于一个二进制文件模板?)
Blind Code Coverage Fuzzer(BCCF)
DynamoRIO?
Load Exploitation: 0day
RE
Weakness in Sandboxing: Exploiting ASLR, DEP & RWX Pages at Fixed Address, ROP(删除死代码的必要性)
Current Trends and Recommendations
Patched Bugs?targeting home users
>在沙箱(虚拟机)里运行老代码?Office 97,VB6,...
相关文章推荐
- Linux socket 初步
- linux lsof详解
- linux 文件权限
- Linux 执行数学运算
- 10 篇对初学者和专家都有用的 Linux 命令教程
- Linux 与 Windows 对UNICODE 的处理方式
- Ubuntu12.04下QQ完美走起啊!走起啊!有木有啊!
- 解決Linux下Android开发真机调试设备不被识别问题
- 运维入门
- 运维提升
- Linux 自检和 SystemTap
- Ubuntu Linux使用体验
- c语言实现hashmap(转载)
- Linux 信号signal处理机制
- linux下mysql添加用户
- Scientific Linux 5.5 图形安装教程
- 基于 Linux 集群环境上 GPFS 的问题诊断