用 Yara 对红队工具 "打标"(二)

本篇是对 用Yara 对红队工具 "打标" 的继承和发展,让思维更高一层。
  • 发表于 2022-10-19 09:30:00
  • 阅读 ( 8002 )
  • 分类:安全工具

3 条评论

Ron
如果是UPX加壳木马怎么检测呢?
沐一·林 回复 Ron
可以参考前面 用Yara 对红队工具 "打标" 文章中提到的 PEID,有资源的话可以提取图标资源,没资源的话目前暂未想到更好的办法
  • 2022-10-26 10:19
  • 回复
沐一·林 回复 Ron
由于我自己也没研究过upx加壳点和其细节,所以目前我也没有办法。特别的像我在用 Yara 对红队工具 "打标"(一)中提到的对 PEID 这种不是木马的有图标资源的程序,该资源应该是不在被upx压缩范围内的,所以可以从资源这方面考虑一下,其它的目前还没有想法。
  • 2022-10-24 09:46
  • 回复
请先 登录 后评论
请先 登录 后评论
沐一·林
沐一·林

20 篇文章

沐一·林

如果觉得我的文章对您有用,请随意打赏。你的支持将鼓励我继续创作!