例如,插入到进程中以获取C2信标的最基本恶意软件之一如下:
Get Handle of a process -> VirtualAllocEx -> WriteProcessMemory -> CreateRemoteThread
现在用C/C++编写它是非常原生的,因为它可以很容易地与WinAPI通信。用另一种编程语言(如Golang或Rust )来对抗EDR,而不仅仅是带有静态分析检查的AV,有什么好处吗?更具体地说,是将JMP与那些WinAPI调用挂钩并调用的EDR?
我的问题来自于.NET和C#的兴起,它们有很多用例,例如使用LOLBAS csc.exe在机器上编译,
当我在Windows上运行一个已签名代码的exe时,我觉得很安全。但我不知道walware能不能签名密码?根据这个这篇文章
Microsoft Authenticode是一种可以帮助确保代码源代码的技术。它不能确保代码安全运行,但它可以确保代码与信任链中的实体相关联。
walware的黑客可以为自己创建一个签名代码来欺骗Windows这个软件已经签署了代码吗?Microsoft如何保证只有证书颁发机构( can )才能创建签名代码?