期刊导航
期刊开放获取
vip
退出
期刊文献
+
任意字段
题名或关键词
题名
关键词
文摘
作者
第一作者
机构
刊名
分类号
参考文献
作者简介
基金资助
栏目信息
任意字段
题名或关键词
题名
关键词
文摘
作者
第一作者
机构
刊名
分类号
参考文献
作者简介
基金资助
栏目信息
检索
高级检索
期刊导航
共找到
1
篇文章
<
1
>
每页显示
20
50
100
已选择
0
条
导出题录
引用分析
参考文献
引证文献
统计分析
检索结果
已选文献
显示方式:
文摘
详细
列表
相关度排序
被引量排序
时效性排序
基于API Hook的Stealth Loader局部堆问题解决
1
作者
徐晓亭
《现代计算机》
2021年第35期20-26,共7页
API(application programming interface)混淆是一种阻挠自动化沙箱或逆向分析人员识别程序调用API名称的技术,达到隐藏程序真实意图的目的,常被恶意软件开发者利用。该方向的最新成果为Kawakoya等人提出的Stealth Loader方法,已成功阻...
API(application programming interface)混淆是一种阻挠自动化沙箱或逆向分析人员识别程序调用API名称的技术,达到隐藏程序真实意图的目的,常被恶意软件开发者利用。该方向的最新成果为Kawakoya等人提出的Stealth Loader方法,已成功阻止了多种动静态分析工具对程序行为的跟踪记录。但该系统本身也存在诸多问题,包括ntdll模块初始化、多个模块之间局部堆共享、消息回调函数注册失败等,造成加壳后程序无法稳定运行。利用API Hook原理,劫持与BaseHeapHandleTable全局变量写入相关的API函数,实现该变量在两种不同模块管理系统之间的信息同步,成功解决该问题。除此之外,将基于空闲链表的内存管理系统与该方法相结合,删除加壳后程序的IAT(import address table,导入地址表),使得程彬林等人提出的检测算法失效,脱壳失败。未来将进一步解决该方法的其他问题。
展开更多
关键词
api
混淆
api
Hook
壳
局部堆
恶意代码攻击
在线阅读
下载PDF
职称材料
题名
基于API Hook的Stealth Loader局部堆问题解决
1
作者
徐晓亭
机构
四川大学网络空间安全学院
出处
《现代计算机》
2021年第35期20-26,共7页
文摘
API(application programming interface)混淆是一种阻挠自动化沙箱或逆向分析人员识别程序调用API名称的技术,达到隐藏程序真实意图的目的,常被恶意软件开发者利用。该方向的最新成果为Kawakoya等人提出的Stealth Loader方法,已成功阻止了多种动静态分析工具对程序行为的跟踪记录。但该系统本身也存在诸多问题,包括ntdll模块初始化、多个模块之间局部堆共享、消息回调函数注册失败等,造成加壳后程序无法稳定运行。利用API Hook原理,劫持与BaseHeapHandleTable全局变量写入相关的API函数,实现该变量在两种不同模块管理系统之间的信息同步,成功解决该问题。除此之外,将基于空闲链表的内存管理系统与该方法相结合,删除加壳后程序的IAT(import address table,导入地址表),使得程彬林等人提出的检测算法失效,脱壳失败。未来将进一步解决该方法的其他问题。
关键词
api
混淆
api
Hook
壳
局部堆
恶意代码攻击
Keywords
api
obfuscation
api
hook
packer
local heap
malware attack
分类号
TP309 [自动化与计算机技术—计算机系统结构]
在线阅读
下载PDF
职称材料
题名
作者
出处
发文年
被引量
操作
1
基于API Hook的Stealth Loader局部堆问题解决
徐晓亭
《现代计算机》
2021
0
在线阅读
下载PDF
职称材料
已选择
0
条
导出题录
引用分析
参考文献
引证文献
统计分析
检索结果
已选文献
上一页
1
下一页
到第
页
确定
用户登录
登录
IP登录
使用帮助
返回顶部
