Вскрытие покажет: анализируем драйвер Windows x64, защищенный VMProtect
Анализ вредоносных программ, защищающих себя от анализа, — это всегда дополнительные трудности для вирусного аналитика. Точнее, постоянная борьба. Злоумышленники постоянно придумывают и дорабатывают свои методы обфускации или используют готовые продвинутые решения, которые были созданы для защиты легитимного программного обеспечения от анализа и взлома, как, например, протектор VMProtect. Его сейчас очень активно применяют китайские вирусописатели для защиты своих вредоносных драйверов Windows x64. Известно, что анализ подобных драйверов — головная боль для вирусных аналитиков. Получив очередной такой объект на анализ, Андрей Жданов, специалист по проактивному поиску киберугроз Group-IB, решил поделиться достаточно простыми подходами, которые облегчат анализ этих вредоносных программ.
Читать далееИсточник: Хабрахабр
Похожие новости
- Как мы пытались «ломануть» сайт «Миротворец»*, а нашли целую армию охотников за данными. Полный технический разбор
- Как я сдал BSCP за 2 часа. Методология подготовки
- Copy.Fail (CVE-2026-31431) — больше чем LPE
- А сейчас я покажу, откуда на вайбкод готовилось нападение
- Мне прислали фишинг под MAX. Я разобрал ссылку и нашёл уязвимость в их API
- Per-user OAuth для MCP-серверов: Keycloak, n8n и Telegram-бот через один Auth Proxy
- Product Radar: Сервис для поиска англицизмов, шаблоны сайтов на Tilda и ещё 8 российских стартапов
- Телевизор как витрина: Почему Ozon и Wildberries до сих пор не захватили ваш диван
- Summ3r 0f h4ck 2026: стажировка в DSEC by Solar
- MAX и метка Spyware в Cloudflare: что это значит и к чему может привести