malware techniques

В этой коллекции программ демонстрируются методы, используемые вредоносными программами для выполнения основных задач.

Это похоже на Al-Khaser, но ориентировано на macOS и Linux .

• Антиавтоанализ
• Антиобратное проектирование
• Анти-ВМ
• Сбор данных
• Упорство

Эти программы написаны на разных языках. В настоящее время библиотека использует (в порядке strlen(language_name) ):

• C
• x86
• Bash
• Python
• Objective-C

Каждая программа предназначена для независимого запуска. Нет main.{c,py,m,asm} .

Обычно каждую программу (написанную на C ) можно скомпилировать с помощью $ gcc FILE -o OUTPUT_FILE .

Исключениями из этого являются:

• src/anti-vm/cross-platform/vmware_detect_with_asm.c , который использует cmake для компиляции. Инструкции можно найти в src/anti-vm/cross-platform/README.md .
• src/anti-autoanalysis/macOS/detectUserActivity , который использует clang для компиляции. Инструкции можно найти в src/anti-autoanalysis/macOS/detectUserActivity/README.md

Вы можете прочитать о мотивации этого проекта в моей презентации.

Спасибо всем исследователям безопасности, которые сделали этот проект возможным. Материалы, опубликованные следующими исследователями, были особенно полезны при создании этой библиотеки:

• Патрик Уордл, Objective-See
• Питер Ферри, старший главный научный сотрудник Symantec Advanced Threat Research
• Александр Омара