-1
나는 악성 코드 분석 실험실을 만들었고 나는 분석 환경을 탐지하기 위해 Pafish을 사용했고 약간의 결함을 패치하고 싶다. 악성 프로그램 검색에서 레지스트리 키와 프로세스를 어떻게 숨길 수 있습니까?VM 관련 레지스트리 키 및 프로세스를 맬웨어 탐지 기술에서 숨기려면 어떻게해야합니까?
A
답변
0
Windows에서는 운영 체제가 프로그램에서 운영 체제 기능 호출을 가로채는 많은 점이 있습니다 (이를 "후크"라고 함). 예를 들어, 프로그램은 디렉토리의 항목을 반환하는 파일 시스템 함수에 호출을 "후크"할 수 있습니다. 일반적으로 프로그램은 성능을 모니터하고 측정하거나 추가 유효성 검사 수준을 추가하는 함수를 후크합니다.
루트킷 또는 SANDBOX은 함수에서 반환 된 모든 값을 확인하기 위해 후크를 사용하고 루트킷의 일부를 나타내는 값을 건너 뛸 수 있습니다. 디렉토리 열거 자의 경우 반환 될 다음 파일이 루트킷의 일부일 경우 건너 뜁니다. 파일은 "보이지 않게"됩니다.
마찬가지로 레지스트리 값을 반환하는 함수의 훅 (hook)은 샌드 박스 응용 프로그램이 검사하지 않을 레지스트리 항목을 숨길 수 있습니다.