Myvideo

Guest

Login

Девиртуализация объекта защищенного KoiVM

Uploaded By: Myvideo
3 views
0
0 votes
0

Обфускация вредоносных программ, написанных на фреймворке .NET, в настоящее время является стандартом среди вирусописателей. С недавних пор в поле зрения экспертов нашей организации начали попадать файлы, защищенные от анализа с помощью виртуализации кода. KoiVM — это известный плагин протектора Confuser, который позволяет виртуализировать исполняемый файл, написанный на .NET. В докладе описывается опыт исследования вредоносного файла, защищенного с помощью модифицированного варианта KoiVM, а также подход и инструменты, разработанные для борьбы с данной техникой. Описаны шаги и вероятные сложности, которые необходимо будет пройти исследователю, столкнувшемуся с подобным файлом. Кроме того, прослежена полная цепочка объектов начиная с фишингового вложения и до полезной нагрузки, принадлежащей известному семейству вредоносов. Акцент в исследовании сделан на том, как быстро найти основную структуру констант, используемых виртуальной машиной, восстановить их значения и сопоставить реализацию данных команд с открытым исходным кодом описываемого виртуализатора. Санат Абеу Seven Hills of Kazakhstan

Share with your friends

Link:

Embed:

Video Size:

Custom size:

x

Add to Playlist:

Favorites
My Playlist
Watch Later