了解签名识别与行为的辨识之间的差异

本文将阐明签名识别与行为分析在检测中的关键差异。此外，还会举例说明了绕过各个检测的示例。

但这并不意味着，在运行时执行时，这些杀毒程序不会检测到有效负载。为什么会出现这种情况？

基于签名的检测非常简单。最早的杀毒程序有一个带有File-Hashes的签名数据库，他们只是将磁盘上任何可执行文件的哈希与已知的恶意可执行程序哈希进行比较。例如，该数据库包含Mimikatz发布二进制文件的SHA1/MD5哈希。改变一个可执行文件的哈希值就像操纵其中的一个字节一样简单，所以这种快捷方式的检测并不可靠。

在本示例中，如果在文件或内存中找到上述三个字符串，则会触发此规则，AV/EDR程序可以执行警报或终止进程等操作。例如，我们在构建自定义Mimikatz二进制代码的文章中描述的技术就可以绕过这样的检测。

根据有效负载的不同，封隔器也可以在当前进程或远程进程中删除更多检测：

如果你的分隔器正在打补丁/绕过AMSI，你可以安全地从内存执行不同的已知恶意脚本(PS1,VBA,JS等)或c#程序集。

为了绕过基于ETW的检测，封隔器还可以通过不同的发布技术修补/绕过ETW。

基于挂钩的Win32 API检测可以通过取消挂钩或直接/间接使用Syscall来绕过。如果您的系统不支持windowsxp/vista/xphome，请确保您的计算机具有足够的内存空间，以允许您安装更多的应用程序。

（编辑：银川站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!