Cycle
developement
實作功能
Testing
確認功能
offline AV-testing
離線防毒軟體測試
online AV-testing
在線防毒軟體測試
virustotal anyrun intrzer polyswarm
virustotal免費會公開樣本
Indicators of Compromise Analsis
IoC檢測,減少明顯指標產生,如特定檔案
what language
golang比較難逆
rust -O3 也很難
高階語言抽象太多概念導致無法控制背景做了什麼
低階語言更能控制記憶體跟指標
Anti-virus / EDR
Windows Defender
需要包裝與隱藏,規避檢測
檢測手段
signature-based detection
檢查簽名是否已知或二進位有沒有相同片段
heuristic detection
進行靜態分析並檢測特徵
sandboxing
在沙箱中監視程式運作
反制手段
polymorphic
多態或重新編譯
obfuscation
程式流混淆可以避免啟發式檢測
environment detect
檢查環境以繞過沙箱
encoding
把敏感資訊編碼或加密