第192期安全事件
2019/07/15-2019/07/21
英文标题 | Anti-Debugging Techniques from a Complex Visual Basic Packer |
中文标题 | Hawkeye 活动使用 Visual Basic 打包器反调试技术 |
作者及单位 | ZLAB-YOROI |
内容概述 |
Hawkeye Keylogger 是一个在暗网上出售的信息窃取恶意软件,自 2013 年以来,其不断增加新的功能和技术。近期攻击 者使用了 Visual Basic 打包程序强制执行的反调试技术。投递文件为 ISO 映像,具有较低的 AV 检测率,其内部有一个 PE 文件伪装的 bat 文件。PE 文件使用 VB 5.0 编写,用于保护恶意软件核心部分,并使分析难度加大。在新分配区域内的上下 文切换之后,恶意软件采用“ GetTickCount() ”反调试技术。其会检索自系统启动以来经过的时间,以毫秒计算,如果 高于预设阈值,恶意软件会终止执行。 |
新闻链接 |
https://blog.yoroi.company/research/anti-debugging-techniques-from-a-complex-visual-basic-packer/ |