malware techniques

このプログラムのコレクションは、コア タスクを実行するためにマルウェアで使用される手法を示します。

macOSとLinuxに焦点を当てている点を除けば、Al-Khaser に似ています。

• 自動分析防止
• アンチリバースエンジニアリング
• アンチVM
• データ収集
• 持続性

これらのプログラムは、さまざまな言語で書かれています。現在、ライブラリは次を使用します ( strlen(language_name)の順序で)。

• C
• x86
• Bash
• Python
• Objective-C

各プログラムは独立して実行されるように設計されています。 main.{c,py,m,asm}ありません。

通常、各プログラム ( Cで書かれた) は$ gcc FILE -o OUTPUT_FILEでコンパイルできます。

これに対する例外は次のとおりです。

• src/anti-vm/cross-platform/vmware_detect_with_asm.c 。コンパイルにcmakeを使用します。手順はsrc/anti-vm/cross-platform/README.mdにあります。
• src/anti-autoanalysis/macOS/detectUserActivity 、コンパイルにclang使用します。手順はsrc/anti-autoanalysis/macOS/detectUserActivity/README.mdにあります。

このプロジェクトの背後にある動機については、私が行ったこのプレゼンテーションで読むことができます。

このプロジェクトを可能にしてくれたセキュリティ研究者の皆様に感謝します。このライブラリを構築する際には、次の研究者が公開した資料が特に役に立ちました。

• パトリック・ウォードル、Objective-See
• Peter Ferrie 氏、Symantec Advanced Threat Research 上級主任研究員
• アレクサンダー・オマラ